Servidor enviando spam?

Navegue suas respostas
4

Temos alguns servidores que hospedam sites e contas de e-mail para clientes.

Hoje descobrimos que um de nossos servidores tem uma carga muito pesada e, olhando para o maillog, ele está enviando muito para endereços de e-mail estranhos. Parece que está enviando spam do nosso servidor. No entanto, não consegui encontrar quem é a conta de envio.

Como posso descobrir o remetente para que eu possa fechar essa conta?

Veja um exemplo de um dos emails de saída na fila: 

[root@server11 mqueue]# cat qfp96I9K1r020960
V8
T1317924562
K1318068176
N27
P3934747
I9/3/119387
MDeferred
Fws
$_localhost [127.0.0.1]
$rSMTP
$sUser
${daemon_flags}
${if_addr}127.0.0.1
S
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
MDeferred
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
rRFC822; [email protected]
RPFD:
MDeferred
rRFC822; [email protected]
RPFD:
H?P?Return-Path: 
H??Received: from User (localhost [127.0.0.1])
    by [server name] (8.13.1/8.13.1) with SMTP id p96I9K1r020960;
    Fri, 7 Oct 2011 05:09:22 +1100
H?M?Message-Id: 
H??From: "Match.com"
H??Subject: Your Match Account Has Been Hold - Re-Connect Now
H??Date: Thu, 6 Oct 2011 11:12:59 -0700
H??MIME-Version: 1.0
H??Content-Type: text/html;
    charset="Windows-1251"
H??Content-Transfer-Encoding: 7bit
H??X-Priority: 3
H??X-MSMail-Priority: Normal
H??X-Mailer: Microsoft Outlook Express 6.00.2600.0000
H??X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Atualização 1:

Depois de limpar a pasta / var / spool / mqueue, ela é preenchida rapidamente com novos e-mails de spam. Uma vez que reiniciei o serviço sendmail, ele parou de ficar cheio de e-mails de spam, mas ele voltará mais tarde em algumas horas. O que isso indica? Obrigado.

    
por starchx 09.10.2011 / 05:52

1 resposta

2

Dependendo da maneira como seus aplicativos são configurados, você poderá ver a conta de usuário incorreta inspecionando todos os processos em execução no servidor e ver quais contas de usuário estão sobrecarregando a CPU. Algo parecido com isto:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Espero que seja tão simples quanto um processo de espaço do usuário que está abusando de privilégios conhecidos e nada como uma caixa raiz que precisa ser apagada e reconstruída. Pronto o lança-chamas.

    
por 09.10.2011 / 06:15

Tags

Comutação de servidores de nomes autorizados - como você define o TTL? Como adicionar o cabeçalho List-Unsubscribe corretamente?