Записи спама в почтовом журнале, но, кажется, не из Сценария PHP?
Я плохо знаком с Linux, и кажется, что мой сервер был помещен в черный список в CBL. Похоже, что одна из моих установок Wordpress была поставлена под угрозу, и некоторое Вредоносное программное обеспечение было установлено.
Я выполнил ClamAV, и он нашел эти Злонамеренные файлы в устаревшей установке Wordpress.
Я удалил полную установку из сервера, когда я выполняю ClamAV снова, это ничто не находит подозрительным или зараженным в системе.
Кроме того, я добавил следующее к своему файлу php.ini для нахождения спама, отправляющего Сценарии PHP на моем сервере:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
Я все еще вижу записи спама в своем файле mail.log, но ничто не показывает вообще в /var/log/phpmail.log? Этот файл абсолютно пуст.
Вот некоторые примеры записей, которые я вижу в mail.log:
Mar 28 19:31:23 localhost sm-mta[23577]: t2Q7MUvi008463: to=<christian.creusot@free.fr>, delay=2+12:08:53, xdelay=00:00:01, mailer=esmtp, pri=16680851, relay=mx2.free.fr. [212.27.42.58], dsn=4.0.0, stat=Deferred: 451 too many errors from your ip (xxx.xxx.xxx.xxx), please visit http://postmaster.free.fr/
Mar 28 19:31:26 localhost sm-mta[25413]: t2R8l6nK026010: to=<pedraza@verison.net>, delay=1+10:44:20, xdelay=00:02:06, mailer=esmtp, pri=10740867, relay=verison.net. [72.52.10.14], dsn=4.0.0, stat=Deferred: Connection timed out with verison.net.
Mar 28 19:31:30 localhost sm-mta[7658]: t2Q71Y5L002621: to=<dylanetmazina@gmail.co>, delay=2+12:29:56, xdelay=00:03:09, mailer=esmtp, pri=16140966, relay=gmail.co. [74.125.228.214], dsn=4.0.0, stat=Deferred: Connection timed out with gmail.co.
Mar 28 19:31:31 localhost sm-mta[17713]: t2RFxunZ004247: to=<chocolatemilkisbetterthansoda@yahoo.co>, delay=1+03:31:35, xdelay=00:08:25, mailer=esmtp, pri=7680920, relay=yahoo.co. [98.137.236.150], dsn=4.0.0, stat=Deferred: Connection timed out with yahoo.co.
Я, может казаться, не выясняю то, что могло вызывать записи спама в почтовом журнале.
Какие-либо идеи относительно того, что еще я могу сделать?
Править: также подтвердили, что я не выполняю открытое реле в sendmail
1 ответ
Скорее всего, вредоносный ClamAV нашел, заметает следы в некотором роде.
Вы видите, что это отправляет спам, и Вы изолировали его, по крайней мере, к использованию Wordpress, поэтому отключите рассматриваемую установку (установки) Wordpress путем переименования docroot каталога. Затем переустановите WP вручную к последней версии.
Всегда лучше всего для осуществления проверки руткита после этого, если Вы можете также.