Использование Exim - 2k писем Topic is solved

[Gigo]

Даже при отключенных:
exim4
dovecot
clamav-daemon
spamassassin

Кол-во писем не уменьшается, серия вопросов:
1. Current 1809 это имеется ввиду что сейчас сервер отправляет/получает 1809 писем или это за сутки было отправлено/получено?
2. Как можно посмотреть кто/что отправляет столько писем, по факту должно быть ~20шт
3. Может ли быть причина в том что почтовики на которые отправляли письма на сервер не были получены, и отправлялись с сервера, но не дошли (ну когда сервер пытается несколько раз отправить одно и тоже письмо)

Особенности:
До этого сервер был взломан и возможно с него отправлялась куча писем, так как гугл именно на это и ругается
host gmail-smtp-in.l.google.com [173.194.222.27]
SMTP error from remote mail server after pipelined end of data:
550-5.7.1 [185.25.ХХХ.ХХХ 7] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked. Please visit
550-5.7.1 https://support.google.com/mail/?p=Unso ... ssageError
550 5.7.1 for more information. b62si2273726lfd.176 - gsmtp
На другие почтовики вроде мейл.ру отправляет, возможно повторный взлом и/или хз че с ним

По вопросу №3, были проблемы вроде
!28.05.2020, 21:00:48: SEND - Письмо не отправлено. Сервер сообщает: Temporary local problem - please try later
и
Access denied - Invalid HELO name
может вышеуказанный график отправки писем как то из-за этих проблем такой дивный

Может кто попутно расскажет что делал, если сталкивался с попаданием писем в спам

[yariksat]

Сервер по прежнему взломан и с него идёт рассылка писем. Ответ на все вопросы.
Отправляется 1809 писем.
Смотреть нужно по логам сервера,хотя не факт что они пишутся. Могли банально отключить.
Скоро будет блокировка от хостера.

[Gigo]

Сервер по прежнему взломан и с него идёт рассылка писем. Ответ на все вопросы.
Отправляется 1809 писем.
Смотреть нужно по логам сервера,хотя не факт что они пишутся. Могли банально отключить.
Скоро будет блокировка от хостера.

Фаерволом закрыл все стандартные порты
Остановил апач и nginx
Результат тот же

top - 09:42:45 up 20:46, 0 users, load average: 0.04, 0.13, 0.22
Tasks: 95 total, 1 running, 57 sleeping, 0 stopped, 0 zombie
%Cpu(s): 10.4 us, 2.5 sy, 0.0 ni, 86.3 id, 0.3 wa, 0.0 hi, 0.0 si, 0.5 st
KiB Mem : 2025512 total, 1063980 free, 468064 used, 493468 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 1404720 avail Mem

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
10337 root 20 0 43944 3844 3332 R 6.7 0.2 0:00.01 top
1 root 20 0 225460 6104 3612 S 0.0 0.3 0:15.86 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
7 root 20 0 0 0 0 S 0.0 0.0 0:04.25 ksoftirqd/0
8 root 20 0 0 0 0 I 0.0 0.0 0:13.73 rcu_sched
9 root 20 0 0 0 0 I 0.0 0.0 0:00.00 rcu_bh
10 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
11 root rt 0 0 0 0 S 0.0 0.0 0:00.22 watchdog/0
12 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/0
13 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
14 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
15 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_k+
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kauditd
17 root 20 0 0 0 0 S 0.0 0.0 0:00.01 xenbus
18 root 20 0 0 0 0 S 0.0 0.0 0:00.00 xenwatch
20 root 20 0 0 0 0 S 0.0 0.0 0:00.02 khungtaskd
21 root 20 0 0 0 0 S 0.0 0.0 0:00.04 oom_reaper
22 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 writeback
23 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kcompactd0
24 root 25 5 0 0 0 S 0.0 0.0 0:00.00 ksmd
25 root 39 19 0 0 0 S 0.0 0.0 0:00.00 khugepaged
26 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 crypto
27 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kintegrityd
28 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kblockd
29 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 ata_sff
30 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 md
31 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 edac-poller
32 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 devfreq_wq

--------------------------------------------------------------------------

systemd-+-accounts-daemon---2*[{accounts-daemon}]
|-2*[agetty]
|-atd
|-cron
|-dbus-daemon
|-fail2ban-server---12*[{fail2ban-server}]
|-freshclam
|-lvmetad
|-lxcfs---10*[{lxcfs}]
|-mysqld---34*[{mysqld}]
|-named---3*[{named}]
|-networkd-dispat---{networkd-dispat}
|-polkitd---2*[{polkitd}]
|-rsyslogd---3*[{rsyslogd}]
|-sshd
|-systemd-journal
|-systemd-logind
|-systemd-network
|-systemd-resolve
|-systemd-timesyn---{systemd-timesyn}
|-systemd-udevd
|-unattended-upgr---{unattended-upgr}
|-vesta-nginx---vesta-nginx
|-vesta-php-+-2*[vesta-php]
| `-vesta-php---sh---sudo---v-list-sys-cpu----pstree
`-vsftpd

Не вижу ничего странного, не знаю только что networkd-dispat---{networkd-dispat} это
Судя по графику письма шлются дальше - что не так?

Дополнение 1:
lastlog Левых учеток не видно
last -a только свой IP, к тому же фаерволом ssh только на мою подсеть

Дополнение 2:
exim -bpc
1823 письма

удалил все письма в очереди, стало 0
но панель по прежнему показывает 1823 письма

Склоняюсь к мысли что где то проблема в панельке, продолжаю смотреть

[Gigo]

Если кому то пригодится
Проблема была в том что mailer-daemon пытался отправить письмо на admin@ письмо о ошибке крона
письма становились в "frozer" и не отправлялись
дальше по всей видимости почтовый сервер сам себе генерил невозможность доставки, сам повторно отправлял и т.д.
поправил задачу в кроне, очистил список писем в очереди

Пользовал:
список писем в очереди
exim -bpc

удалить все письма из очереди
exipick -i | xargs exim -Mrm

Просмотреть заголовки сообщений
exim -Mvh [id]

Просмотреть тело сообщений:
exim -Mvb [id]

[grayfolk]

Проблема была в том что mailer-daemon пытался отправить письмо на admin@ письмо о ошибке крона

Письма отправляются при любом выводе из выполняющегося скрипта. Можно либо отключить вывод, либо отредактировать кронтаб - закомментировать/удалить email.