Определить источник спама

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
rusty_j4ck
рядовой
Сообщения: 34
Зарегистрирован: 2008-11-10 18:12:36
Контактная информация:

Определить источник спама

Непрочитанное сообщение rusty_j4ck » 2008-11-25 20:55:52

Имею под контролем корпоративный сервер,
на котором устанвлен фря5.5, апач2, мод_пхп.

Есть некоторое количество клиентов, которые хостят свои сайты (php/mysql).
У них свои доступы по ftp. ПХП работает с open_basedir для каждого сайта.
Апач работает под www.

Кого то из них поломали и теперь запускают спаммерский скрипт, который рассылает

Код: Выделить всё

[root@ /usr/local/etc]# ps ax | grep qmail-remote
64975  ??  I      0:00.00 qmail-remote yahoo.com.au potretlover@yahoo.com.au
66011  ??  I      0:00.00 qmail-remote yahoo.es teesqcho@yahoo.es
66536  ??  I      0:00.00 qmail-remote yahoo.com tequila1x4@yahoo.com
66946  ??  I      0:00.00 qmail-remote yahoo.com.au aloneragan@yahoo.com.au
67047  ??  I      0:00.00 qmail-remote yahoo.com tequilanthomas@yahoo.com
67428  ??  I      0:00.00 qmail-remote yahoo.com traders3486092625g24@yahoo.com
67707  ??  I      0:00.00 qmail-remote yahoo.com tequilero2@yahoo.com
67960  ??  I      0:00.00 qmail-remote rocketmail.com kuomintangjf58@rocketmail.com
68093  ??  I      0:00.00 qmail-remote yahoo.es telquimes@yahoo.es
68248  ??  I      0:00.00 qmail-remote yahoo.com.au oregenesis@yahoo.com.au
68394  ??  I      0:00.00 qmail-remote bradysigns.com bnks@bradysigns.com
68622  ??  I      0:00.00 qmail-remote yahoo.com temani_aq@yahoo.com
68712  ??  I      0:00.00 qmail-remote yahoo.com.au defnp3@yahoo.com.au
69265  ??  I      0:00.00 qmail-remote yahoo.es teijidovazquez@yahoo.es
69977  ??  I      0:00.00 qmail-remote rocketmail.com izhevskj71@rocketmail.com
70142  ??  I      0:00.00 qmail-remote rocketmail.com largestw7@rocketmail.com
70470  ??  I      0:00.00 qmail-remote bluestarpr.com bfwuly@bluestarpr.com
70822  ??  I      0:00.00 qmail-remote rdfast.com curtiss@rdfast.com
70945  ??  I      0:00.00 qmail-remote yahoo.com.au ibowz3@yahoo.com.au
71327  ??  I      0:00.00 qmail-remote yahoo.com.au tuyhongbc@yahoo.com.au
71331  ??  I      0:00.00 qmail-remote yahoo.com.au miomoimio2002@yahoo.com.au
72074  ??  I      0:00.00 qmail-remote yahoo.com.au brockman66@yahoo.com.au
72943  ??  I      0:00.00 qmail-remote yahoo.com.au donabel_l@yahoo.com.au
73652  ??  I      0:00.00 qmail-remote rocketmail.com roughneckingvz@rocketmail.com
73981  ??  S      0:00.00 qmail-remote yahoo.com.au depks3@yahoo.com.au
74459  ??  I      0:00.00 qmail-remote bounce.dcswx.com wbked@bounce.dcswx.com
74469  ??  I      0:00.00 qmail-remote admedia.aust.com kgunn@admedia.aust.com
74470  ??  I      0:00.00 qmail-remote yahoo.com.au ictga3@yahoo.com.au
74493  ??  I      0:00.00 qmail-remote yahoo.com evnhcks@yahoo.com
74500  ??  I      0:00.00 qmail-remote list.ru sjjobpj@blueblazebikeandshuttle.com nevidimka74@list.ru
74536  ??  S      0:00.00 qmail-remote bpbovis.com sfinlr@bpbovis.com
74567  ??  S      0:00.00 qmail-remote yahoo.com.au len602000@yahoo.com.au
74589  ??  S      0:00.00 qmail-remote forfree.at kristo.deaquino@forfree.at
74660  ??  S      0:00.00 qmail-remote yahoo.com.au madw73@yahoo.com.au
74663  ??  S      0:00.00 qmail-remote boullie.com twya@boullie.com
Помогите советом, как определить, какой скрипт может выполнять эти действия?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Определить источник спама

Непрочитанное сообщение zg » 2008-11-25 21:24:07

rusty_j4ck писал(а):какой скрипт может выполнять эти действия?
любой, даже smile.gif, расположенный на сервере в америке.

Код: Выделить всё

grep -ri mail /path/to/web/folders > /path/to/log
70% - что скрипт найдёшь.

И смотри топ, на предмет перла, обычно если уж ломают, то висит потом перл, а также сокстат на предмет подозрительных портов.