непонятно как взломали exim

[Знатная зверюга]

Привет всем.
Прошу совета - через мой сервер непонятным для меня образом ночью рахослали тонну спама. Письма уходили от
<= аdmin@domain.соm U=mailnull P=local S=626
где аdmin@domain.соm это действующий почтовый ящик на сервере и domain.соm указан в domainlist relay_to_domains
меня смщуает что почта уходила от mailnull, как будто зашли локально этим пользователем и отправляли
в конфиге указано

Код: Выделить всё

exim_user = mailnull
  user = mailnull

но в /etc/master.passwd

Код: Выделить всё

mailnull:*:26:26::0:0:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin

то есть зайти им не могли. Или это какая-то уязвимость ексима? стоит достаточно старая версия 4.66, ОС freebsd 6.2
Буду благодарен за любые мнения-советы.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

да может банально апач поламали
и через дырявый php разослали
ищите и проверяйте все логи на странность

[Знатная зверюга]

Спасибо за ответ.
Не, если через апач то рассылается с U=nobody, а тут от mailnull

[Гость]

хм
тогда однозначно через екзим
а что других логов нет? по екзиму
по какойто активности ...

[Знатная зверюга]

Ну вот такого рода логи и идут

Код: Выделить всё

1PrkSX-000FFC-1t  <= admin@domain.com U=mailnull P=local S=650
1PrkSX-000FFC-1t => servizisociali@cert.comune.avellino.it R=dnslookup T=remote_smtp H=mx.postacert.it.net  [151.1.194.101] X=TLSv1:RC4-SHA:128
1PrkSX-000FFC-1t Completed

пришло от моего имейла с локального ексима и успешно ушло получателю

[blade_007]

Версия exim какая? exim -bV

[Знатная зверюга]

спасибо за ответ.
писал в первом посте
4.66, ОС freebsd 6.2
наткнулся на описание уязвимости, которая могла привести к такому результату, более того в rejectlog нашел попытки взломать через эту уязвимость (правда было это пару недель назад), обновляю ексим до 4.74 нажеюсь поможет