exim рассылает спам

[goscotch]

Приветствую.

Centos, стоит панель. Все работало отлично, но через какое то время забилась очередь исходящей почты. Никак не могу разобраться в источнике рассылки. Даже vps менял уже( Пока только ограничил исходящие письма через non-SMTP ACL до 5 в час. Но очередь постоянно растет.

Видно что письма отправляются от admin'a

Code: Select all

2014-01-13 23:25:18 1W2n8Q-0001P9-Ax <= admin@webca U=admin P=local S=366
2014-01-13 23:25:18 1W2n8Q-0001P9-Ax => [email protected] R=dnslookup T=remote_smtp H=mail.tproper.com [46.4.34.77] X=TLSv1:AES256-SHA:256
2014-01-13 23:25:18 1W2n8Q-0001P9-Ax Completed

и имя почему то указано как admin@webca, хотя hostname - webca.mydomain.ru

уже перелопатил все логи, но чувствую мне не хватает знаний. Пароли все поменял, он проблема не решается...
iptables включен, rkhunter и clamav ничего не находят.

Помогите, пожалуйста разобраться, найти источник и победить проблему.

[nabbe]

в php 5.3 и выше появился очень клевый лог, отслеживает из каких скриптов идет запуск mail() и на какую почту уходят письма, его надо только включить

Code: Select all

sudo nano /etc/php.ini

Там находишь 2 строчки

Code: Select all

mail.add_x_header = On
mail.log = /var/tmp/php.mail.log

сохраняешь файл, ребутаешь сервер, и ждешь когда лог файл начнет наполняться.

[goscotch]

в php 5.3 и выше появился очень клевый лог, отслеживает из каких скриптов идет запуск mail()

в курсе этого лога, он включен и не наполняется. Так как почта отправляется мимо функции mail()

[skid]

Из лога видно, что письма отправляются локальным пользователем. Похоже на то, что кто-то получил доступ к серверу.

1. посмотрите на список запущенных процессов
2. проверьте логи захода на сервер "last"
3. проверьте крон задания "crontab -l"

[ig0r74]

Ну как, у вас получилось решить проблему?
У меня тоже самое, только Ubuntu стоит.

[Deeryo]

Похоже что сайты создали под юзером admin и какой-то сайт хакнули. Привет Joompla, Wormpress, Drukal.