У меня есть Linux-сервер с Exim. Какой-то пользователь рассылает спам. Я могу сказать это, потому что почти каждые 24 часа я получаю огромное количество недоставленных писем в учетной записи none.
Я вижу, как быстро растет очередь Exim, и до сих пор мне приходилось перезапускать сервер, чтобы остановить флуд.
Я пробовал использовать ps и top, чтобы определить учетную запись, которая генерирует спам, но я предполагаю, что это через скрипт php, и он запускается как никто.
Как я могу отследить учетную запись / скрипт-нарушитель?
Спасибо,
Ничто не должно работать как никто. Все, что запускается как никто, не должно быть изменено на запуск от имени пользователей, ответственных за них. Если у вас есть куча PHP с общим хостингом, все работающие от имени пользователя веб-сервера (наиболее распространенный источник «никто» - у RedHat есть за что ответить), прекратите это делать - используйте suPHP или что-то еще, чтобы вернуть немного ответственности.
Однако в ближайшем будущем вы сможете соотносить спам-запуски в ваших журналах с попаданиями в журналы вашего веб-сервера, если это неуклюжий PHP-скрипт; как только у вас есть сценарий, его легко исправить или изменить.
"почти каждые 24 часа я получаю огромное количество недоставленных писем в аккаунте none"
На самом деле это может указывать на атаку обратного рассеяния. Если у вас еще нет настройки SPF для вашего домена (ов), вы можете подумать о его настройке. Это не остановит атаку обратного рассеяния, но даст некоторым другим системам возможность отклонить поддельные сообщения, исходящие не из вашей инфраструктуры.