Como descobrir qual programa está enviando e-mails

4

Eu tenho a caixa linux (debian) que está rodando bem. No entanto, eu tenho problema que eu preciso descobrir qual programa está enviando e-mails quando eu uso o comando "mail". Ou, quando se trata de um script PHP que está enviando e-mails com a função mail (), preciso saber qual programa está enviando esses e-mails.

Como posso descobrir?

Ps: Para limpar, eu gostaria de saber qual programa é invocado quando eu (ou um programa) usar o comando "mail".

Existem 2-3 MTAs instalados no meu servidor, mas não consigo descobrir qual deles é responsável pelo envio de e-mails.

    
por Sinan 04.10.2012 / 01:07

3 respostas

2

O que você está perguntando como fazer:
dpkg -S /path/to/mail

/ path / to / mail / pode ser encontrado usando which mail , desde que mail esteja em seu caminho.

Nota menor:
O correio também será enviado usando sendmail em vez de mail .

O que você deve fazer:
Olhe para o seu maillog, provavelmente /var/log/maillog ou /var/log/mail.log o nome do daemon deve estar lá.

    
por 04.10.2012 / 01:28
1

strace irá expor o comportamento do seu código - quer esteja executando um programa ou fazendo uma conexão TCP com um servidor de email.

    
por 04.10.2012 / 11:40
1

Esta questão é semelhante a Como encontrar qual script no meu servidor está enviando e-mails de spam? , mas como não permite mais respostas (marcadas como duplicadas), estou respondendo aqui para fornecer algumas informações.

Resposta curta:

Altere o arquivo /etc/php.ini ou /etc/php5/apache/php.ini adicionando essas duas linhas: mail.add_x_header = On mail.log = /var/log/phpmail.log

reinicie seu php5 or php5-fpm service and nginx/apache service e, em seguida, verifique o arquivo /var/log/phpmail.log para ver qual script teve o erro de acionamento e remova-o!

Longa Resposta:

Aqui está o escopo muito específico (minha solução não resolve outro cenário):

Estou executando o Ubuntu em um VPS e tive nginx, php5-fpm, and wordpress instalado, e ele foi hackeado, e tenho certeza que foi WP hackeado e códigos de spam foram injetados.

Eu tentei as seguintes ações para corrigir; como o detector de malware do Linux usado; redefinir todas as credenciais de conexão com o banco de dados; e simplesmente navegar pelos olhos para remover códigos maliciosos.

Algumas ações que tomei são:

  • redefinir todas as senhas do banco de dados
  • faça login wp-admin, remova o usuário administrativo não intencional
  • instala o wordfence para fazer defesa

Para o código-fonte:

  • você pode fazer um diff com o código wordpress oficial com o seu e ver o que foi alterado
  • pastas estranhas no diretório raiz do WP
  • alguns arquivos terminados com * .suspected
  • nomes de arquivos estranhos como 1346.php , etc.
  • grep eval de todos os seus arquivos para ver algo malicioso
  • verifique qualquer arquivo php que tenha código ofuscado

Depois que eu fiz isso, eu também removi a permissão de execução de todos os arquivos, exceto o diretório: %código% ou consulte aqui: remova as permissões de execução de arquivos sem tocar na pasta

No entanto, ainda vejo muitos erros em chmod -x+X -R * e /var/log/mail.err , porque não configurei /varlog/syslog ou sendmail (é possível impedir que esses serviços exponham o erro de spam):

postfix

No entanto, ainda não sei onde estão os scripts de spam ... aqui ...

Após pesquisar várias horas, encontrei a solução acima mencionada em resposta curta , configure suas configurações de email em postfix/sendmail[2422]: fatal: open /etc/postfix/main.cf: No such file or directory e exponha a localização dos scripts.

Depois de remover esses scripts, não encontrei mais erros de spam e, até agora, meu servidor parece limpo.

Embora, como muitos sugeriram, você deve colocar esse servidor offline e fazer uma recriação ou redefinir para um status anterior, etc.

links de referência:

Como faço para lidar com um servidor comprometido?

link

    
por 30.01.2017 / 01:33