Как найти скрипт, рассылающий спам через Postfix
Все больше и больше серверов подвергаются атакам злоумышленников, размещающих вредоносный код. Наиболее распространённый способ использования зараженных серверов — это рассылка спама через скрипты php, и узнаёт владелец сервера о такой рассылке обычно из предупреждения от провайдера. В этом случае нужно срочно найти, какой именно скрипт на сервере рассылает спам, и устранить его. Если вы используете postfix, вам достаточно выполнить следующие действия:
- Войдите в терминал с правами администратора (root), выполнив команду
sudo
- Проверьте состояние почтовой очереди с помощью команды
mailq
- Выберите сообщение, которое явно является спамом. Скопируйте идентификатор письма из первой колонки результатов и просмотрите подробную информацию о сообщении с помощью команды
postcat -q <идентификатор письма>
- Найдите строку, начинающуюся с
"X-PHP-Originating-Script"
. В ней содержится название сценария, рассылающего спам. - Удалите вредоносный скрипт, установите последние обновления программного обеспечения, убедитесь, что права доступа к папкам установлены должны образом и поменяйте пароли пользователей.
- Очистите почтовую очередь, выполнив команды
postsuper -d ALL
- Проверьте ещё раз почтовую очередь, чтобы убедиться в отсутствии нежелательной рассылки. Если в очереди снова появились спам-сообщения, повторите перечисленные выше шаги до полного устранения проблемы.