Как узнать что за скрипт...

1

1

Пришла абуза, что идет спам с сервера. Заблокировал 25 порт(исходящие конекты). Абузу сняли. Как найти какое приложение или скрипт такую бяку делает?

Как только перезапустил файрвол сразу такое:

Chain OUTPUT (policy ACCEPT 389 packets, 39111 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       85  5499 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable

rkhunter ничего не показал! На eval и прочее php-скрипты проверял - результат отрицательный.

Ссылка

←	На VPS с Ubunut 14.04 + nginx не получается настроить работу php-пула на unix сокете

бесплатный днс сервер

→

php-скрипты проверял

Опусти веб-сервер и «перезапусти файервол». Если никто почту не шлет, то ты понял где проблема, да?

futurama ★★★★★
(28.02.17 10:19:03 MSK)

легко.

1) Смотрите логи MTA.

2) Смотрите

exim -Mvh id-message

увидите метод отправки и скрипт который отправляет.

~~int13h~~ ★★★★★
(28.02.17 10:51:40 MSK)

Ссылка

Ответ на: комментарий от futurama 28.02.17 10:19:03 MSK

Опусти веб-сервер и «перезапусти файервол»

Просто вебсервера мало. Письмо стоит в очереди, и почтовик будет пытаться его отослать.

Смотри логи.

anonymous
(28.02.17 11:05:23 MSK)

Ссылка

Ответ на: комментарий от futurama 28.02.17 10:19:03 MSK

После остановки апача - письма слаться перестали. exim dovecot вообще отключены. Видимо скрипт куда то конектиться для отправки, сам по себе с сервера ничего не отправляет!

xisip
(28.02.17 12:14:04 MSK) автор топика

Ссылка

netstat -tp в помощь

LEONARDO
(01.03.17 07:39:39 MSK)

Ответ на: комментарий от LEONARDO 01.03.17 07:39:39 MSK

Каким образом это может помочь?

xisip
(01.03.17 08:47:51 MSK) автор топика

Ответ на: комментарий от xisip 01.03.17 08:47:51 MSK

LEONARDO дело говорит, нужно поднять апач и понаблюдать за выхлопом netstat -tp - если почтовый сервер у вас отключен, значит отправка скорее всего производится по протоколу SMTP. Как только найдёте процесс, плодящий SMTP-подключения, вам достаточно будет lsof -p PID_процесса и strace -p PID_процесса для обнаружения скрипта, отвечающего за рассылку. Иногда обработчик обрабатывает одновременно несколько запросов от разных скриптов, в результате чего нужно очень внимательно наблюдать за тем, что происходит в выхлопе strace что-бы понять какой скрипт осуществляет рассылку. Для его поиска нужно запастись терпением, но рано или поздно вы найдёте нужный вам скрипт.

lucentcode ★★★★★
(01.03.17 15:33:16 MSK)

Ответ на: комментарий от lucentcode 01.03.17 15:33:16 MSK

Всем спасибо! Проблема решена. Скрипт найден!

xisip
(02.03.17 11:38:44 MSK) автор топика

Ответ на: комментарий от xisip 02.03.17 11:38:44 MSK

Хорошо, что скрипт нашёлся:) Подобную проблему лучше решать как можно скорей, пока IP-адрес сервера не засветился особо в спам-листах и списках IP с плохой репутацией.

lucentcode ★★★★★
(03.03.17 22:24:13 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	На VPS с Ubunut 14.04 + nginx не получается настроить работу php-пула на unix сокете

General

бесплатный днс сервер

→

Похожие темы