Назад | Перейти на главную страницу

Сервер рассылает спам?

У нас есть несколько серверов, на которых размещаются веб-сайты и учетные записи электронной почты для клиентов.

Сегодня мы обнаружили, что один из наших серверов имеет очень большую нагрузку и, просмотрев журнал почты, он часто отправляет на странные адреса электронной почты. Похоже, с нашего сервера рассылается спам. Однако я не смог найти, кто является отправителем.

Как я могу узнать отправителя и закрыть этот счет?

Вот пример одного из исходящих писем в очереди:

[root@server11 mqueue]# cat qfp96I9K1r020960
V8
T1317924562
K1318068176
N27
P3934747
I9/3/119387
MDeferred
Fws
$_localhost [127.0.0.1]
$rSMTP
$sUser
${daemon_flags}
${if_addr}127.0.0.1
S
rRFC822; jenners0223@aol.com
RPFD:
rRFC822; jennecho@aol.com
RPFD:
rRFC822; jennebarre@aol.com
RPFD:
rRFC822; jenndum@aol.com
RPFD:
rRFC822; jenncsh@aol.com
RPFD:
MDeferred
rRFC822; jennclemons@cs.com
RPFD:
rRFC822; jennesef@yahoo.com
RPFD:
rRFC822; jennerped@yahoo.com
RPFD:
rRFC822; jenneroutszong@yahoo.com
RPFD:
rRFC822; jennermills@yahoo.com
RPFD:
rRFC822; jennerbeez@yahoo.com
RPFD:
rRFC822; jennerate@yahoo.com
RPFD:
rRFC822; jenner_parker@yahoo.com
RPFD:
rRFC822; jennellsmilie@yahoo.com
RPFD:
rRFC822; jennellehuff@yahoo.com
RPFD:
rRFC822; jennel4eva@yahoo.com
RPFD:
rRFC822; jenneka.gaines@yahoo.com
RPFD:
rRFC822; jennejenkins@yahoo.com
RPFD:
rRFC822; jenneintenn@yahoo.com
RPFD:
rRFC822; jenneekay@yahoo.com
RPFD:
rRFC822; jennean.dickens@yahoo.com
RPFD:
rRFC822; jennduckworth@yahoo.com
RPFD:
rRFC822; jenndooley03@yahoo.com
RPFD:
rRFC822; jenndobscha@yahoo.com
RPFD:
rRFC822; jenndeemartin@yahoo.com
RPFD:
rRFC822; jenndannwill@yahoo.com
RPFD:
rRFC822; jennd926@yahoo.com
RPFD:
rRFC822; jenncummisky@yahoo.com
RPFD:
rRFC822; jenncradduck@yahoo.com
RPFD:
rRFC822; jenncoffin@yahoo.com
RPFD:
rRFC822; jennchrischristopher@yahoo.com
RPFD:
MDeferred
rRFC822; jenncepero@yahoo.com
RPFD:
H?P?Return-Path: 
H??Received: from User (localhost [127.0.0.1])
    by [server name] (8.13.1/8.13.1) with SMTP id p96I9K1r020960;
    Fri, 7 Oct 2011 05:09:22 +1100
H?M?Message-Id: 
H??From: "Match.com"
H??Subject: Your Match Account Has Been Hold - Re-Connect Now
H??Date: Thu, 6 Oct 2011 11:12:59 -0700
H??MIME-Version: 1.0
H??Content-Type: text/html;
    charset="Windows-1251"
H??Content-Transfer-Encoding: 7bit
H??X-Priority: 3
H??X-MSMail-Priority: Normal
H??X-Mailer: Microsoft Outlook Express 6.00.2600.0000
H??X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Обновление 1:

Как только я очистил папку / var / spool / mqueue, она быстро наполняется новыми спам-сообщениями. Как только я перезапустил службу sendmail, она перестала заполняться спамом, но вернется через пару часов. На что это указывает? Спасибо.

В зависимости от того, как настроены ваши приложения, вы можете увидеть учетную запись пользователя-нарушителя, проверив все запущенные процессы на сервере и увидев, какие учетные записи пользователей загружают процессор. Что-то вроде этого:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

Надеюсь, это так же просто, как процесс пользовательского пространства, который злоупотребляет известными привилегиями, и не имеет ничего общего с корневым ящиком, который нужно стереть и перестроить. Готовьте огнемет.