web-dev-qa-db-ja.com

サーバー送信スパム?

クライアント用のウェブサイトとメールアカウントをホストするサーバーがいくつかあります。

今日、サーバーの1つに非常に大きな負荷がかかっていることがわかりました。メールログを見ると、奇妙なメールアドレスに多くの送信が行われています。サーバーからスパムを送信しているようです。しかし、送信アカウントが誰であるかがわかりませんでした。

そのアカウントを閉鎖できるように、送信者を見つけるにはどうすればよいですか?

キュー内の送信メールの1つの例を次に示します。

 [root @ server11 mqueue] #cat qfp96I9K1r020960 
 V8 
 T1317924562 
 K1318068176 
 N27 
 P3934747 
 I9 /3/119387
MDeferred
Fws
$_ localhost [127.0.0.1] 
 $ rSMTP 
 $ sUser 
 $ {daemon_flags } 
 $ {if_addr} 127.0.0.1 
 S 
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 MDeferred 
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 rRFC822; [email protected] 
 RPFD:
 MDeferred 
 rRFC822; [email protected] 
 RPFD:
 H?P?Return-Path:
 H ?? Received:from User(localhost [127.0.0.1])
 [サーバー名](8.13.1/8.13.1)、SMTP ID p96I9K1r020960; 
 2011年10月7日金曜日05:09:22 + 1100 
 H?M?Message-Id:
 H ?? From: "Match.com" 
 H ?? Subject:Your Match Account Has Holded-Re-Connect Now 
 H ?? Date:Thu、6 Oct 2011 11:12:59 -0700 
 H ?? MIME-Version:1.0 
 H ?? Content-Type:text/html; 
 charset = "Windows-1251" 
 H ?? Content-Transfer-Encoding:7bit 
 H ?? X-Priority:3 
 H ?? X-MSMail-Priority:Normal 
 H ?? X -メーラー:Microsoft Outlook Express 6.00.2600.0000 
 H ?? X-MimeOLE:Microsoft MimeOLE V6.00.2600.0000 
によって作成されました。

アップデート1:

/ var/pool/mqueueフォルダーをクリーンアップすると、すぐに新しいスパムメールでいっぱいになります。 sendmailサービスを再開すると、スパムメールでいっぱいになるのをやめましたが、数時間後に戻ってきます。これは何を示していますか?ありがとう。

4
starchx

アプリケーションの設定方法によっては、サーバー上で実行中のすべてのプロセスを調べて、どのユーザーアカウントがCPUを占有しているかを確認することで、問題のあるユーザーアカウントを確認できる場合があります。このようなもの:

ps -eo pcpu,pid,user,args | sort -k 1 -r | head -10

うまくいけば、それは既知の特権を悪用するユーザースペースプロセスと同じくらい単純であり、ワイプして再構築する必要があるルート化されたボックスのようなものではありません。火炎放射器の準備をします。

2
Wesley