У нас есть сервер CentOS, на котором запущены Sendmail и ISPConfig в качестве панели. Недавно мы заметили огромный рост трафика, исходящего от фальшивого аккаунта Yahoo. Журналы показывают, что за короткое время были отправлены сотни писем.
Мы пытаемся изолировать скрипт, но у нас запущено несколько сайтов, и мы не знаем, где искать в первую очередь.
Идеи?
-- Поскольку результатов нет, я предполагаю, что либо люди не знают, что это никогда не будет легко, либо я не предоставляю достаточно информации.
Мы пробовали искать файлы на сервере для '@yahoo' и подобных, но есть вероятность, что он получает адрес электронной почты с внешнего сайта или файла. Можем ли мы легко определить любые ссылки на внешние файлы? Мы используем внутренние файлы .js для всего, поэтому их не должно быть слишком много.
или любая другая идея..
решение1
Почему вы считаете, что именно скрипт на вашем сервере отправляет эти письма? Вы упомянули, что на вашей машине запущен sendmail — возможно, он действует как открытый ретранслятор или кто-то настроил другой процесс, который пересылает почту с него на ваш настоящий sendmail?
Сначала проверьте тестер реле открытого состояния вашего хоста, возможно:http://www.abuse.net/relay.html
Итак, по крайней мере, я бы начал с этого контрольного списка:
- проверьте, действует ли sendmail как открытый ретранслятор
- остановите отправку всех писем sendmail и проверьте, что попадает в очередь. Заголовки в самом необработанном письме могут дать какие-то подсказки?
- проверьте, какие порты у вас открыты, и убедитесь, что каждый открытый порт соответствует приложению, которое, как вы знаете, должно быть запущено.
- во время потока писем, поступающих на ваш сервер, проверьте, что происходит с помощью netstat и lsof
решение2
Вы можете запустить lsof во время рассылки спама, чтобы увидеть, к каким файлам на сервере осуществляется доступ.
Также, пока спам находится в очереди, попробуйте просмотреть содержимое сообщения до его отправки, чтобы увидеть, есть ли в нем какие-либо подсказки относительно того, откуда оно пришло. Например, если оно из формы на одном из сайтов, размещенных на сервере, оно может обнаружить уникальное поле в форме, которое вы затем можете извлечь из файлов вашего сайта.