Назад | Перейти на главную страницу

Как идентифицировать пользователя почты из системного журнала и mail.log?

У меня есть пользователь в моей системе, который, похоже, отправляет большое количество почты, и мне трудно определить, кто он. Я не знаю его IP-адрес или имя пользователя, под которым он прошел аутентификацию.

Одна из таких записей в системном журнале:

root@s2:~# zgrep '2EA87A0CDF' /var/log/syslog.2.gz | more  
Jul 28 21:04:32 s2 postfix/pickup[10654]: 2EA87A0CDF: uid=33 from=<callcenter@bdo.com>  
Jul 28 21:04:32 s2 postfix/cleanup[11263]: 2EA87A0CDF: message-id=<56a1b0b372c938dfc989c5630be75ac1@www.ourCustomersDomain.com>  
Jul 28 21:04:32 s2 postfix/qmgr[2545]: 2EA87A0CDF: from=<callcenter@bdo.com>, size=4808, nrcpt=1 (queue active)  
Jul 28 21:04:36 s2 postfix/smtp[11361]: 2EA87A0CDF: to=<mangmkkepweng@yahoo.com>, relay=mta5.am0.yahoodns.net[98.137.159.27]:25, delay=4.4, delays=0.01/0.01/1.2/3.2, dsn=2.0.0, status=sent (250 ok dirdel)  
Jul 28 21:04:36 s2 postfix/qmgr[2545]: 2EA87A0CDF: removed

Обратите внимание на следующее:

Я вижу UID, который равен «33», но для меня это ничего не значит. Как можно сопоставить это с используемым именем пользователя?

Перед тем, как вы отредактировали свой пост в соответствии с запросом в комментарии, вы включили запись в журнал, в которой указывалось, что UID соответствующего пользователя был «33». Как отмечено в комментарии, этот UID часто используется для службы www-data (самого веб-сервера).

Возможно, вы подумали, что, поскольку многие пользователи в системе используют веб-почту, это может объяснить это, но на самом деле у этих пользователей другой UID. Если UID службы www-data в вашей системе - «33», это, вероятно, означает, что в одном из пространств веб-хостинга вашего пользователя есть сценарий, который отправляет электронные письма.

Поскольку вы упомянули, что уже сузили это до домена реального клиента, попробуйте просмотреть любой сценарий отправки почты (например, свяжитесь с нами), который они могут использовать - возможно, в нем есть недостатки безопасности. Кроме того, внимательно посмотрите на файлы в их www-каталоге и ниже на предмет всего, что могло быть добавлено хакером, если их учетная запись FTP была взломана.

Также, как было предложено Вот, Чтобы узнать, какой сценарий отвечает за отправку этих писем, вы можете установить директиву

mail.add_x_header = Вкл.

в вашем php.ini. Это добавит дополнительный заголовок письма

X-PHP-исходный-скрипт

Затем проверьте заголовки соответствующих писем в очереди почты.

Если вы обнаружите, что его учетная запись была взломана, и хакер добавил скрипты в каталог www для использования разрешений почтового сервера на отправку почты, не забудьте проверить как учетная запись была скомпрометирована и закрыла пробел после очистки учетной записи.