У нас есть несколько серверов, на которых размещаются веб-сайты и учетные записи электронной почты для клиентов.
Сегодня мы обнаружили, что один из наших серверов имеет очень большую нагрузку и, просмотрев журнал почты, он часто отправляет на странные адреса электронной почты. Похоже, с нашего сервера рассылается спам. Однако я не смог найти, кто является отправителем.
Как я могу узнать отправителя и закрыть этот счет?
Вот пример одного из исходящих писем в очереди:
[root@server11 mqueue]# cat qfp96I9K1r020960 V8 T1317924562 K1318068176 N27 P3934747 I9/3/119387 MDeferred Fws $_localhost [127.0.0.1] $rSMTP $sUser ${daemon_flags} ${if_addr}127.0.0.1 S rRFC822; jenners0223@aol.com RPFD: rRFC822; jennecho@aol.com RPFD: rRFC822; jennebarre@aol.com RPFD: rRFC822; jenndum@aol.com RPFD: rRFC822; jenncsh@aol.com RPFD: MDeferred rRFC822; jennclemons@cs.com RPFD: rRFC822; jennesef@yahoo.com RPFD: rRFC822; jennerped@yahoo.com RPFD: rRFC822; jenneroutszong@yahoo.com RPFD: rRFC822; jennermills@yahoo.com RPFD: rRFC822; jennerbeez@yahoo.com RPFD: rRFC822; jennerate@yahoo.com RPFD: rRFC822; jenner_parker@yahoo.com RPFD: rRFC822; jennellsmilie@yahoo.com RPFD: rRFC822; jennellehuff@yahoo.com RPFD: rRFC822; jennel4eva@yahoo.com RPFD: rRFC822; jenneka.gaines@yahoo.com RPFD: rRFC822; jennejenkins@yahoo.com RPFD: rRFC822; jenneintenn@yahoo.com RPFD: rRFC822; jenneekay@yahoo.com RPFD: rRFC822; jennean.dickens@yahoo.com RPFD: rRFC822; jennduckworth@yahoo.com RPFD: rRFC822; jenndooley03@yahoo.com RPFD: rRFC822; jenndobscha@yahoo.com RPFD: rRFC822; jenndeemartin@yahoo.com RPFD: rRFC822; jenndannwill@yahoo.com RPFD: rRFC822; jennd926@yahoo.com RPFD: rRFC822; jenncummisky@yahoo.com RPFD: rRFC822; jenncradduck@yahoo.com RPFD: rRFC822; jenncoffin@yahoo.com RPFD: rRFC822; jennchrischristopher@yahoo.com RPFD: MDeferred rRFC822; jenncepero@yahoo.com RPFD: H?P?Return-Path: H??Received: from User (localhost [127.0.0.1]) by [server name] (8.13.1/8.13.1) with SMTP id p96I9K1r020960; Fri, 7 Oct 2011 05:09:22 +1100 H?M?Message-Id: H??From: "Match.com" H??Subject: Your Match Account Has Been Hold - Re-Connect Now H??Date: Thu, 6 Oct 2011 11:12:59 -0700 H??MIME-Version: 1.0 H??Content-Type: text/html; charset="Windows-1251" H??Content-Transfer-Encoding: 7bit H??X-Priority: 3 H??X-MSMail-Priority: Normal H??X-Mailer: Microsoft Outlook Express 6.00.2600.0000 H??X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Как только я очистил папку / var / spool / mqueue, она быстро наполняется новыми спам-сообщениями. Как только я перезапустил службу sendmail, она перестала заполняться спамом, но вернется через пару часов. На что это указывает? Спасибо.
В зависимости от того, как настроены ваши приложения, вы можете увидеть учетную запись пользователя-нарушителя, проверив все запущенные процессы на сервере и увидев, какие учетные записи пользователей загружают процессор. Что-то вроде этого:
ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10
Надеюсь, это так же просто, как процесс пользовательского пространства, который злоупотребляет известными привилегиями, и не имеет ничего общего с корневым ящиком, который нужно стереть и перестроить. Готовьте огнемет.