У нас есть сервер CentOS, на котором запущены Sendmail и ISPConfig в качестве панели. Недавно мы заметили огромный рост трафика, поступающего с фальшивой учетной записи Yahoo. Журналы показывают, что за короткое время отправляются сотни писем.
Мы пытаемся изолировать сценарий, но у нас работает несколько сайтов, и мы не знаем, где искать в первую очередь.
Идеи?
- Поскольку результатов не было, я предполагаю, что либо люди не знают, это никогда не будет легко, либо я не предоставляю достаточно информации.
Мы пробовали искать в файлах на сервере «@yahoo» и т.п., но есть вероятность, что он получит адрес электронной почты с внешнего сайта или файла. Можем ли мы легко определить ссылки на внешние файлы? Мы используем внутренние файлы .js для всего, поэтому их не должно быть слишком много.
или любая другая идея ..
Почему вы считаете, что это должен быть сценарий на вашем сервере, который отправляет эти электронные письма? вы упомянули, что на вашей машине запущен sendmail - возможно, он действует как открытый ретранслятор или кто-то настроил другой процесс, который пересылает почту с него на ваш настоящий sendmail?
Сначала проверьте тестер открытого реле вашего хоста, возможно: http://www.abuse.net/relay.html
Итак, по крайней мере, я бы начал с этого контрольного списка:
Вы можете запустить lsof во время рассылки спама, чтобы увидеть, к каким файлам на сервере осуществляется доступ.
Кроме того, пока спам находится в очереди, попробуйте просмотреть содержимое сообщения до того, как оно отправится, чтобы узнать, дает ли оно какие-либо подсказки относительно того, откуда он. Например, если он из формы на одном из сайтов, размещенных на сервере, он может показать уникальное поле в форме, которое вы затем можете извлечь из файлов вашего сайта.