Возможный дубликат:
Мой сервер был взломан в АВАРИИ
У меня работает сервер LAMP, который внезапно начал пытаться рассылать спам. Интересно, есть ли у кого-нибудь предложения, чтобы помочь отследить, как это делается.
Сам сервер не прослушивает порт 25, поэтому это не проблема реле. Я предполагаю, что это какая-то PHP (или другая) инъекция электронной почты, особенно учитывая, что отправитель - www-data @ domain.
Проблема в том, что я не совсем уверен, где найти код проблемы, есть ли у кого-нибудь предложения относительно того, как лучше всего это сделать? Журналы Apache и системных журналов пока особо не придумывают.
Серверное ПО - это:
С несколькими сайтами, размещенными на сервере.
Если есть дополнительная информация, которую я могу добавить, которая может помочь, дайте мне знать
Взломанным системам нельзя доверять, восстановление из резервной копии.