https://slinkov.ru/openforum/vsluhforumID1/95578.html Операционная система Debian 6.0<br>Сервер используется в качестве вебсервера<br>Мейл сервер: Postfix version 2.7.1<br><br>Собственно говоря с ним то и возникла проблема.<br>Недавно хостер прислал мне предупреждение что с моего сервера идёт рассылка спама, и действительно зйядя в Вебмин в конфиг Постфикса я увидел что дико растёт очередь Mail Queue. В ней куча непонятных писем, которые отправлены якобы от имени одного из сайтов которые размещены на этом сервере. Причем почтовых ящиков от которых якобы производится рассылка я естественно не создавал и их вообщем то и не заведено.<br><br>Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, но очередь сообщений всё равно растёт (переодически чищу её)<br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#7 Thu, 24 Apr 2014 12:48:52 GMT &gt; php можно установить с патчем, который будет говорить какой именно скрипт почту <br>&gt; шлёт. Как на линуксах не знаю, на FreeBSD это просто опция <br>&gt; компиляции <br><br>на нормальных ОС достаточно включить соотв опцию в php.ini ;)<br><br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#6 Wed, 23 Apr 2014 05:36:31 GMT автор для сваво почтаря даже реверс не удосужился прописать ...<br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#5 Wed, 23 Apr 2014 05:33:08 GMT &gt; php можно установить с патчем, который будет говорить какой именно скрипт почту <br>&gt; шлёт. Как на линуксах не знаю, на FreeBSD это просто опция <br>&gt; компиляции <br><br>проще в php.ini запретить функции типа mail* и еже с ним, но это конечно не спасет если через дыру в движке получают консоль ...<br>но у автора похоже, судя по манере задавать вопросы, понятия нет что где искать и как вообще все работает в принципе - так что по фото тут не полечишь как писали выше ))<br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#4 Tue, 22 Apr 2014 21:32:23 GMT млин, ну кто таким как вы сервера в руки даёт ...<br>ну логи то хоть грепать умеете???<br><br>1. грепаем/смотрим логи постфикса - на предмет "с какого ИП прилетает зараза в очередь"<br> - if localhost &#124;&#124; 127.0.0.1 -&gt; 99% дыра в скрипте пхп, или каком то вордпрессе/джумле итп, переходим к пункту 2<br> - else -&gt; то есть письмо приходит с левого белого ИП - тут дыра в настройках relay и/или авторизации самого постфикса, возможен вариант с подставой from &#124;&#124; reply-to и несуществующим пользователем, чтобы баунс ушёл "куда надо". Короче смотреть сам постфикс.<br><br>2. Если дыра в пыхапе и/или модном фрэймворке -&gt; грепаем/смотрим логи апача/нджинкса, ищем левую хрень. Обновляем пхп (если нужно) или убираем всю срань или фиксим индусский код в скрипте или патчим модный фрэймворк. <br><br>ЗЫ: чтоб получить нормальный ответ надо задавать нормально вопросы. Где нужные куски логов и конфигов? Как правильно сказал один из предыдущих ораторов:<br><br>&gt;По фотографии от алкоголизма не лечим.<br><br>ЗЫЗЫ тут насчёт флага товарищ тож https://slinkov.ru/openforum/vsluhforumID1/95578.html#3 Tue, 22 Apr 2014 18:49:12 GMT php можно установить с патчем, который будет говорить какой именно скрипт почту шлёт. Как на линуксах не знаю, на FreeBSD это просто опция компиляции<br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#2 Tue, 22 Apr 2014 18:42:34 GMT &gt;&gt; Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что <br>&gt;&gt; генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, <br>&gt;&gt; но очередь сообщений всё равно растёт (переодически чищу её) <br>&gt; Что за &#171;сервер&#187;? У кого есть консольный вход? Только у вас? Кто, <br>&gt; кроме вас самого, использует его в качестве вебсервера и имеет, соответственно, <br>&gt; апачи-мапачи?<br>&gt; По фотографии от алкоголизма не лечим.<br><br>Только я.<br>Оба сайта что там крутятся мои.<br>Что ещё меня удивляет так это то что постфикс настроен на домен одного сайта, ну и MX запись есть только у него, но спам рассылают от имени второго сайта.<br><br>вот например<br><br>это взял из очереди сообщений. за 30 минут там прибавилось 3000 сообщений! :(<br><br>001FF1672002014/04/22 18:09tina_lynch@pkuneev.runamrehs102@aol.com580 bytes<br>00250166D452014/04/22 17:49elisa_sherman@pkuneev.rumann1107@yahoo.com615 bytes<br>002C5166DFB2014/04/22 17:50therese_nicholson@pkuneev.rulbeputt@aol.com616 bytes<br> https://slinkov.ru/openforum/vsluhforumID1/95578.html#1 Tue, 22 Apr 2014 18:36:02 GMT &gt; Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что <br>&gt; генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, <br>&gt; но очередь сообщений всё равно растёт (переодически чищу её) <br><br>Что за &#171;сервер&#187;? У кого есть консольный вход? Только у вас? Кто, кроме вас самого, использует его в качестве вебсервера и имеет, соответственно, апачи-мапачи? <br>По фотографии от алкоголизма не лечим.<br><br>