Как найти скрипт, рассылающий спам через Postfix

Все больше и больше серверов подвергаются атакам злоумышленников, размещающих вредоносный код. Наиболее распространённый способ использования зараженных серверов — это рассылка спама через скрипты php, и узнаёт владелец сервера о такой рассылке обычно из предупреждения от провайдера. В этом случае нужно срочно найти, какой именно скрипт на сервере рассылает спам, и устранить его. Если вы используете postfix, вам достаточно выполнить следующие действия:

Успокойся и борись со спамом

  1. Войдите в терминал с правами администратора (root), выполнив команду sudo
  2. Проверьте состояние почтовой очереди с помощью команды mailq
  3. Выберите сообщение, которое явно является спамом. Скопируйте идентификатор письма из первой колонки результатов и просмотрите подробную информацию о сообщении с помощью команды postcat -q <идентификатор письма>
  4. Найдите строку, начинающуюся с "X-PHP-Originating-Script". В ней содержится название сценария, рассылающего спам.
  5. Удалите вредоносный скрипт, установите последние обновления программного обеспечения, убедитесь, что права доступа к папкам установлены должны образом и поменяйте пароли пользователей.
  6. Очистите почтовую очередь, выполнив команды postsuper -d ALL
  7. Проверьте ещё раз почтовую очередь, чтобы убедиться в отсутствии нежелательной рассылки. Если в очереди снова появились спам-сообщения, повторите перечисленные выше шаги до полного устранения проблемы.

Leave a Response