Определение скрипта отправляющего спам в Postfix

Postfix спам
Оцените статью

Решил добавить рубрику, которая близка мне, так как порой приходиться решать проблемы в плане системного администрирования. Сам профессионалом не являюсь, скорее я мастер по поиску решений в гугле. Вот и встала недавно предо мною проблема рассылки спама через одну уязвимость в сервере.

Предыстория

Одного дня на своей почте я обнаружил «письма счастья» от хостера, где было написано что на ведомую мною машину поступили две жалобы на спам. Начав изучать меил логи я обнаружил тонны спама рассылаемого на разные адреса и используемые мои доменный имена. Было понятно,что это не пропущенный мною открытый релей. Значит скорее всего мне залили шелл или бота.

Поиск спама через Postfix

Для нахождения спамного скрипта нам понадобиться выполнить следующее:

  1. Если мы не под рутом, перейти к пользователю, который имеет sudo права.
  2. Проверить текущую очередь писем командой mailq.
  3. Выбрать письмо, которое очевидно напоминает нам спам, скопировать с первой колонки его ID.
  4. Проверь детали письма командой postcat -q <ID>.
  5. Найти строку, которая начинается с «X-PHP-Originating-Script». В ней будет находиться путь к скрипту, который и генерирует спам.
  6. Удаляем скрипт, чистим зараженный домен, апдейтим скрипты цмс по необходимости.
  7. Очищаем всю очередь писем командой postsuper -d ALL.
  8. Опять проверяем очередь писем командой mailq, чтобы увидеть есть ли еще где-либо спам-генерирующие скрипты. Если проблема осталась, изучаем тело писем.

К слову сказать мою проблему это окончательно не решило. Потребовалась смена паролей ящиков, а так же дополнительный прогон Malware-сканера. В этом плане я вам советую Linux Malware Detect (https://www.rfxn.com/projects/linux-malware-detect/). Установка и настройку его нашел на Хабре.

Основные команды:

  • wget http://www.rfxn.com/downloads/maldetect-current.tar.gz — скачивание архива.
  • tar -zxvf maldetect-current.tar.gz — распаковка.
  • sh ./install.sh — запуск установки.
  • maldet -a /home/user1/exapmle.com — запуск сканирования нужного нам каталога без карантина.
  • maldet -r /home/user1/ 2 — сканирование всех измененных за последние два дня файлов.
  • maldet —report 091713-1715.24128 — после проведенного сканирования нам будет предоставлена такого рода команда, в которой мы сможем просмотреть отчет.
  • maldet -q 091713-1715.24128 — помещение в карантин файлов отчета.
  • maldet -n, —clean 091713-1715.24128 — очистка результатов сканирования.

На моей машине данная софтина нашла зараженные скрипты, а так же шелл. После блокировки их спама пока что не наблюдается.

Надеюсь эта статья поможет кому-то кроме меня.