Как отследить скрипты, отправляющие СПАМ?

Как отследить скрипты, отправляющие СПАМ?

Поскольку ваш хостинг-провайдер заблокировал вас от отправки почты, вы можете проверить почтовые журналы и почтовую очередь на наличие подсказок:

• В зависимости от вашей системы скрипты настройки выполняются под уникальным идентификатором клиента, который регистрируется, что сужает учетную запись хостинга.

• Посмотрите на почтовую очередь, это зависит от того, как и какие сценарии, многие из лучших включают имя сценария в заголовки, и когда это не так, обычно Reply-to или же From устанавливаются заголовки, что позволяет сузить учетную запись клиента.

• Соотнесите с журналами веб-доступа, и обычно довольно легко найти оскорбительный скрипт.

Возможно, почтовая очередь не содержит спама, а в журналах вашего почтового сервера также не указано, что вы отправляли спам; тогда вместо существующего средства сценария / почты, которое подвергается насилию, спамер смог загрузить собственный сценарий / программу, которая подключается непосредственно к удаленным почтовым серверам, полностью обходя Qmail. В таком случае: как мне работать с взломанным сервером?

Знаете ли вы, что Plesk также предоставляет очень подробную документацию? Вы можете прочитать и следовать:

=> Борьба со спамом на почтовом сервере Qmail ( Plesk Onyx - электронная документация - Расширенное руководство администратора, Plesk для Linux)

Редактировать (по запросу): Вы можете найти полезные команды, например:

/var/qmail/bin/qmail-qstat

Проверьте, сколько сообщений в очереди Qmail

/var/qmail/bin/qmail-qread

Прочитайте заголовки сообщений, это покажет отправители и получатели. Два много получателей в основном являются признаком спама.

find /var/qmail/queue/mess/ -name 1234567

Найти сообщения по его идентификатору и проверить заголовки. Вы можете выяснить, что пользователь отправляет довольно много писем с помощью CGI -скриптов, например, что является еще одним индикатором спама.

Больше можно найти по вышеупомянутой ссылке.:-)

grep Received\: /var/log/maillog | grep --color invoked\ by\ uid

UID, который выходит чаще всего, должен быть таким же, как и скомпрометированный vhost. Если uid 0, вы действительно в беде.

Вы не предоставили мне достаточно информации, чтобы убедиться, что вы входите в /var/log/maillog. В plesk, например, maillog находится в другом месте.

Вы можете поговорить со своим хостинг-провайдером, чтобы узнать, что он может вам помочь - они предположительно отрезали трафик вашего порта 25 на основе чего-то, и знание того, что это было бы полезно.

В частности, я бы посоветовался с ними, если это проблема объема или содержания - исправление в каждом случае может быть немного другим.

Я бы также проверил ваш /var/log/mail (или эквивалентный файл), чтобы попытаться определить наиболее важных отправителей. В частности, я бы проверил записи, показывающие nrcpt больше 1, которые используют домен, который вы размещаете.

Я бы посоветовал вам убедиться, что каждый из ваших доменов / сайтов работает как собственный (локальный) пользователь - таким образом, если вы обнаружите, что проблема связана с одним доменом, вы можете легче заблокировать этому локальному пользователю отправку чего-либо (если вы запустите на всех сайтах под одним и тем же пользователем вам нужно будет сопоставить домен и т. д.).

Поскольку у вас есть SpamAssassin, я также гарантирую, что вы сканируете исходящие электронные письма (независимо от того, блокируете ли вы их, основываясь на спаме, зависит от вас, но я бы гарантировал, что они были забиты за спам). Просмотрите статистику по каждому домену (или отправителю, если это необходимо) и посмотрите, поможет ли это вам лучше понять.