Origem do email de spam

Question

Origem do email de spam

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

1

Estou executando o Ubuntu com o POSTFIX e tenho mensagens de spam que tentam ser enviadas continuamente. Eu bloqueei tudo do servidor de e-mail que eles estão saindo e agora eles estão sendo continuamente enfileirados. O servidor está executando o php / mysql com vários sites. Como posso saber de onde as mensagens estão vindo? ie. de um arquivo php no servidor que está sendo executado ou onde?

exemplo de mailq

2A8CA2D447   444542 Wed Feb 29 09:07:27  [email protected]
(delivery temporarily suspended: lost connection with emailserver[emailserverip] while receiving the initial server greeting)
                                         [email protected]

Qualquer ajuda seria apreciada

mysql php postfix ubuntu

por user1188421 29.02.2012 / 18:18

3 respostas

Tags mysql php postfix ubuntu

Script Perl e erros de falta de memória Como configurar um servidor e roteadores para aceitar conexões de entrada?

score 1 · Answer 1

Parece que você tem alguém que invadiu o servidor. Pode haver rootkits, processos invisíveis ... se você tiver sorte, é apenas um script que o gera. Se você desconectar o computador da rede, ele ainda está tentando enviar mais e-mails novos? Então é algo no servidor que gera o e-mail.

O problema é que, mesmo que você limpe o que puder, não pode ter certeza de que o limpou completamente.

A melhor prática é limpar a máquina e reconstruir, e voltar através do seu código PHP e SQL (se você estiver usando um banco de dados) e verificar se você tem todos os patches e não injeções SQL possíveis, auditando tudo que puder. Em seguida, verifique se você não tem o Postfix configurado como uma retransmissão de email, apenas permitindo que sua própria máquina ou seu próprio IP ou própria sub-rede envie emails.

score 1 · Answer 2

A única mensagem de log que você fornece não informa nada disso explicitamente.

O fato de o eventual endereço do remetente ser [email protected] implica que ele foi enviado por meio de um processo de propriedade do apache, provavelmente php mail ().

Você não pode proibir trivialmente que um site envie mensagens localmente através do sendmail (1), mas permita que outras pessoas sejam iguais; em vez disso, considere negar todo o envio de e-mail local e exigir que os sites da Web enviem e-mails pelo SMTP local.

Se você quiser impedir que qualquer processo do apache envie mensagens por enquanto, adicione o seguinte ao main.cf:

authorized_submit_users = !www-data, static:all

e recarregue o postfix:

# postfix reload

score 0 · Answer 3

Você provavelmente deve examinar as respostas para essa pergunta:

link

Isso permitiria restringir o domínio / site que está enviando esses e-mails de spam. Se você não puder ver seus logs do servidor de e-mail para saber a que horas o e-mail foi enviado, procure um POST correspondente nos seus logs do Apache um ou dois antes dessa hora. Isso pode permitir que você tenha sorte e determine o script que enviou o e-mail.