Как узнать какие скрипты рассылают спам с сервера? (для Postfix)

IP сервера постоянно попадает в SPAM-листы, как узнать, какие скрипты рассылают спам. Инструкция для Postfix. Подходы могут быть применены и к другим почтовикам.

Пути и названия файлов могут немного отличаться, зависит от версии ОС.

Узнаем в какой папке находится скрипт, который рассылает спам функцией mail() и аналогами.

1. Создать скрипт /usr/sbin/sendmail.postfix-wrapper:

   1 2	touch /usr/sbin/sendmail.postfix-wrapper vi /usr/sbin/sendmail.postfix-wrapper

Добавить в файл эти две строчки:

1. Создать лог-файл /var/tmp/mail.send, дать ему права a+rw. Сделать созданный враппер исполнимым файлом, переименовать старый sendmail и пирлинковать sendmail к созданному врапперу.

   1 2 3 4 5

   touch /var/tmp/mail.send chmod a+rw /var/tmp/mail.send chmod a+x /usr/sbin/sendmail.postfix-wrapper mv /usr/sbin/sendmail.postfix /usr/sbin/sendmail.postfix-bin ln -s /usr/sbin/sendmail.postfix-wrapper /usr/sbin/sendmail.postfix

2. Ждем час и возвращаем sendmail на место:

   1 2	rm -f /usr/sbin/sendmail.postfix mv /usr/sbin/sendmail.postfix-bin /usr/sbin/sendmail.postfix

Изучаем файл /var/tmp/mail.send. Должны быть записи, которые начинаются строчкой X-Additional-Header: где указана директория, в которой находится скрипт, рассылающий спам.

Если ни какой подозрительной активности в файле лога нет, значит спам рассылается через взломанный почтовый аккаунт.

Всё что далее, написано для Plesk 12 и мною не тестировалось. Источник: http://kb.odin.com/en/114845

Если видно подозрительно высокое количество попыток входа в какой-либо почтовый аккаунт, значит скорее всего его взломали.

Можно использовать следующую команду для поиска таких аккаунтов:

Чтобы остановить спам в этом случае, нужно установить устойчивые пароли на взломанные почтовые аккаунты.