Eu encontrei o problema procurando nos logs do Apache. Aparentemente, a senha do FTP foi hackeada e havia um arquivo post.php colocado em todos os diretórios da web que permitiam que eles enviassem e-mails.
Ther eis spam está sendo enviado do meu servidor agora e eu não tenho idéia de onde é originário. Aqui está a entrada de log de um dos e-mails:
Dec 11 20:04:55 ip-10-170-94-31 sendmail[20858]: sBBK4rfZ020856: to=<[email protected]>, ctladdr=<[email protected]> (48/48), delay=00:00:02, xdelay=00:00:02, mailer=relay, pri=126531, relay=relay.jangosmtp.net. [64.56.118.248], dsn=2.0.0, stat=Sent (6893 bytes received in 00:00:00; Message id 201412112004570841 accepted for delivery)
Como posso rastrear isso de volta para o que está enviando os e-mails?
Eu encontrei o problema procurando nos logs do Apache. Aparentemente, a senha do FTP foi hackeada e havia um arquivo post.php colocado em todos os diretórios da web que permitiam que eles enviassem e-mails.
Se o seu servidor de e-mail é spam, pare com isso e procure por indícios nos arquivos da fila.
Se for do PHP, adicione uma diretiva mail.log quando apropriado (por exemplo, Apache php_admin_value).
Tags sendmail