どのプログラムがメールを送信しているかを調べる方法

straceはコードの動作を公開します-プログラムを実行しているのか、またはTCPメールサーバーに接続しているのか）。

この質問は サーバー上のどのスクリプトがスパムメールを送信しているかを確認する方法 に似ていますが、回答が許可されていない（重複とマークされている）ため、ここに回答して洞察を提供します。

短い答え：

次の2行を追加して、ファイル/etc/php.iniまたは/etc/php5/Apache/php.iniを変更します：mail.add_x_header = On mail.log = /var/log/phpmail.log

php5 or php5-fpm service and nginx/Apacheサービスを再起動してから、/var/log/phpmail.logファイルをチェックして、どのスクリプトでトリガーエラーが発生したかを確認し、削除してください！

長い答え：

これは非常に具体的なスコープです（私のソリューションは他のシナリオを解決しません）：

私はVPSでUbuntuを実行していて、nginx, php5-fpm, and wordpressがインストールされていて、ハッキングされており、WPハッキングされ、スパムコードが挿入されたと確信しています。

私は修正するために以下のアクションを試みました。使用済みなど Linuxマルウェア検出機能 ;すべてのデータベース接続資格情報をリセットします。悪意のあるコードを削除するために単に目で見てください。

私が取ったいくつかの行動は：

• すべてのデータベースパスワードをリセットする
• ログインwp-admin、意図しない管理ユーザーを削除
• wordfenceをインストールして防御を行う

ソースコードの場合：

• あなたは公式のwordpressコードであなたのコードとdiffを行うことができ、何が変更されたかを見ることができます
• WPルートディレクトリ内の奇妙なフォルダ
• * .suspectedで終わるいくつかのファイル
• 1346.phpなどの奇妙なファイル名.
• すべてのファイルのgrep evalで悪意のあるものを確認
• コードが難読化されているphpファイルを確認します

それらを実行した後、ディレクトリ以外のすべてのファイルの実行権限も削除します：chmod -x+X -R *またはここを参照： フォルダーに触れずにファイルから実行権限を削除する

ただし、sendmailまたはpostfixを構成しなかったため、/var/log/mail.errおよび/varlog/syslogにまだ多くのエラーが表示されます（このようなサービスを停止してスパムを公開できます）エラー）：

postfix/sendmail[2422]: fatal: open /etc/postfix/main.cf: No such file or directory

ただし、スパミングスクリプトがどこにあるかはまだわかりません。

数時間検索した後、短い回答で述べた上記の解決策を見つけ、php.iniでメール設定を構成し、スクリプトの場所を公開しました。

これらのスクリプトを削除した後、スパムエラーは検出されなくなりました。これまでのところ、サーバーはクリーンに見えます。

多くの人が提案しましたが、そのようなサーバーをオフラインにして、イメージの再作成や以前のステータスへのリセットなどを行うことになっています。

参照リンク：

侵害されたサーバーにどのように対処しますか？

https://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server/