Я продолжаю видеть эти строки в почтовом журнале Postfix с нескольких неизвестных нелокальных адресов электронной почты:
Oct 3 08:47:32 srv04 postfix/pickup[86325]: F020C5C1101: uid=80 from=<noreply@example.se>
Oct 3 08:47:32 srv04 postfix/cleanup[87544]: F020C5C1101: message-id=<20181003064732.F020C5C1101@srv04.example.se>
Oct 3 08:47:33 srv04 postfix/qmgr[86326]: F020C5C1101: from=<noreply@example.se>, size=621, nrcpt=1 (queue active)
Oct 3 08:47:34 srv04 postfix/smtp[87546]: F020C5C1101: to=<tryajmir@yahoo.com>, relay=mta5.am0.yahoodns.net[74.6.137.63]:25, delay=2, delays=0.2/0.02/0.55/1.2, dsn=2.0.0, status=sent (250 ok dirdel)
Oct 3 08:47:34 srv04 postfix/qmgr[86326]: F020C5C1101: removed
Я регистрирую почту с помощью PHP, и они, похоже, тоже не приходят из каких-либо PHP-скриптов ?!
mail.add_x_header = On
mail.log = /var/log/phpmail.log
Почтовый сервер Postfix, который я настроил как простой, отправляет только локальную электронную почту с нескольких веб-сайтов (Magento, Wordpress и т. Д.).
Спасибо,
UID 80, вероятно, является тем, под которым работает ваш веб-сервер, поэтому вы можете быть уверены, что что-то на вашем веб-сервере было взломано и отправляет почту.
Вы не видите этого в почтовом журнале PHP, потому что мошеннический сценарий, вероятно, не использует mail() функция, но напрямую вызывает sendmail (вот почему UID 80 регистрируется постфиксом).
Вам необходимо изучить журнал своего веб-сервера на предмет доступа во время получения писем, чтобы вы могли узнать, какой сценарий это делает. Но сначала: остановите свой веб-сервер, чтобы остановить рассылку спама. Попадание вашего сервера в черный список - вопрос времени.
наверное, лучше всего стереть корень документа и восстановить из резервной копии. Затем убедитесь, что все обновления веб-сервера и веб-приложений применяются, чтобы предотвратить повторение событий.