Sou novo no linux e parece que meu servidor estava na lista negra do CBL. Parece que uma das minhas instalações do Wordpress foi comprometida e algum Malware foi instalado.
Eu rodei o ClamAV, e ele encontrou esses arquivos maliciosos na instalação desatualizada do Wordpress.
Eu removi toda a instalação do servidor, quando eu executo o ClamAV novamente, ele não encontra nada suspeito ou infectado no sistema.
Além disso, adicionei o seguinte ao meu arquivo php.ini para encontrar spam enviando scripts PHP no meu servidor:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
Ainda estou vendo entradas de spam no meu arquivo mail.log, mas nada está sendo mostrado em /var/log/phpmail.log? Este arquivo está completamente vazio.
Aqui estão alguns exemplos das entradas que estou vendo no mail.log:
Mar 28 19:31:23 localhost sm-mta[23577]: t2Q7MUvi008463: to=<[email protected]>, delay=2+12:08:53, xdelay=00:00:01, mailer=esmtp, pri=16680851, relay=mx2.free.fr. [212.27.42.58], dsn=4.0.0, stat=Deferred: 451 too many errors from your ip (xxx.xxx.xxx.xxx), please visit http://postmaster.free.fr/
Mar 28 19:31:26 localhost sm-mta[25413]: t2R8l6nK026010: to=<[email protected]>, delay=1+10:44:20, xdelay=00:02:06, mailer=esmtp, pri=10740867, relay=verison.net. [72.52.10.14], dsn=4.0.0, stat=Deferred: Connection timed out with verison.net.
Mar 28 19:31:30 localhost sm-mta[7658]: t2Q71Y5L002621: to=<[email protected]>, delay=2+12:29:56, xdelay=00:03:09, mailer=esmtp, pri=16140966, relay=gmail.co. [74.125.228.214], dsn=4.0.0, stat=Deferred: Connection timed out with gmail.co.
Mar 28 19:31:31 localhost sm-mta[17713]: t2RFxunZ004247: to=<[email protected]>, delay=1+03:31:35, xdelay=00:08:25, mailer=esmtp, pri=7680920, relay=yahoo.co. [98.137.236.150], dsn=4.0.0, stat=Deferred: Connection timed out with yahoo.co.
Não consigo descobrir o que poderia estar causando as entradas de spam no log de mensagens.
Alguma idéia do que mais eu posso fazer?
EDIT: também confirmou que não estou executando uma retransmissão aberta no sendmail
O mais provável é que o malware encontrado pelo ClamAV esteja cobrindo seus rastros de alguma forma.
Você pode ver que está enviando spam e isolou-o pelo menos em uma exploração do Wordpress; portanto, desative a (s) instalação (ões) do Wordpress em questão renomeando o diretório docroot. Em seguida, reinstale o WP manualmente para a versão mais recente.
Sempre é melhor executar uma verificação de rootkit depois disso, se você puder também.