Ищем рассылателя спама

Published on 12.10.2015

Сервер стал переодически вешаться. Оказалось, что одновременно запускалось множество процессов sendmail’a, а папки /var/spool/mqueue и mqueue-client заполнены файлами так, что PuTTy вводе вешался. Дело в спаме.

Осталось вычислить, что именно спам рассылает.

mv /usr/sbin/sendmail /usr/sbin/sendmail.org
touch /usr/sbin/sendmail
chmod +x /usr/sbin/sendmail

echo -n '#!/bin/bash
logger -p mail.info sendmail-ext-log: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail.org -t -i' > /usr/sbin/sendmail

Перезагружаем. В моем случае стоит чистый sendmail, а не postfix, и sendmail отдельно не перезагружался. Потому рестартим сервак.

Смотрим логи:

tail -f /var/log/mail.info

Видим:

Jan 23 16:25:25 danma logger: sendmail-ext-log: site=, client=, script=send.php, pwd=/var/www/danma/data/www/site.ru, uid=33, user=www-data
Jan 23 16:25:25 danma postfix/pickup[11520]: E3CD259403D: uid=33 from=
Jan 23 16:25:25 danma postfix/cleanup[11522]: E3CD259403D: message-id=

И теперь сморим в сам скрипт, что же именно там не так.

Taz
Author: Taz

Posted in:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *