Exim, как найти и устранить источник спама на сайте

Exim самый распространённый сервис для работы с почтой на сервере, настолько же он имеет высокие риски того, что ваш сервер могут использовать для рассылки спама. Как с этим бороться и как найти источник спама на вашем сервере, сегодня мы подробно рассмотрим. Главное с чем мы будем работать, это логи, которые мы для начала выведем в том виде, который нам подскажет больше данных об отправке почты с сервера.

Часть первая, добавляем в конфиг данные

Первый шаг, это редактирование конфигурации exim. Находим папку с exim конфигом exim.conf, обычно он находится в папке etc/exim/ дальше будет либо папка exim с этим файлом, либо он будет лежать в корне. Открываем файл и находим в нем блок “log_selector =”, он будет выглядеть примерно так:

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+smtp_protocol_error

Изменяем его добавление строчки, после которой он должен выглядеть уже так

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+arguments
+smtp_protocol_error

Таким образом мы добавили отображение в логах директории, из которой происходит отправка писем. То есть, если спамеры внедрили к вам скрипт в одну из папок, то вы сможете увидеть папку, в которой этой файл вредный находится.

Теперь необходимо обязательно сделать перезапуск сервиса exim

Часть вторая, отслеживание по логам exim

Дальше надо отследить отправку писем с помощью ssh команды. Если вы не владеете работой по SSH то можете просто скачать файл exim.log из папки /var/log/ или /var/log/exim/ и после этого с помощью notepad +++ просмотреть данные по cwd аналогично описанному ниже в образце команд по SSH.

Для работы по SSH мы вводим команды

# cat /var/log/exim/main.log | grep cwd=
# cat /var/log/exim/main.log | grep cwd= | grep username
# cat /var/log/exim/main.log | grep cwd= | grep superdomain.com

Получаем данные об отправке почты и папке из которой она отправляется, если вы видите что указано нестандартное место для отправки писем, то соответственно вы нашли источник спама. Но тут надо тоже подойти детально. Первая команда позволяет получить все данные сервера. Вторая команда выделяет конкретного пользователя. Третья команда выделяет указанный домен.

После вывода команды вы увидите что то такое

2018-01-08 08:07:56 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 13:15:33 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 14:44:45 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru

Дальше, если у вас видна папка, из которой не должна уходить почта, переходите в журналы сайта и просматриваете access.log нужного вам домена. Ищете POST запросы и смотрите какой файл отсылает почту. После этого его удаляете и таким образом избавляетесь от спама.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

− 1 = 4

OK2WEB
OK2WEB
Более 12 лет занимаюсь разработкой и продвижением сайтов. Городские порталы, информационные и новостные сайты. Сейчас в основном разрабатываю интернет магазины и коммерческие сайты. Если у вас есть вопросы пишите, стараюсь оперативно ответить и помочь.

Как использовать частный адрес Wi-Fi на iPhone и iPad

Последняя мобильная операционная система Apple предоставляет новую функцию безопасности, называемую частным адресом . Это помогает защитить ваши личные данные в общедоступных или незнакомых сетях Wi-Fi. У каждого устройства есть собственный встроенный адрес. Эта новая функция случайным образом создает новый адрес, поэтому ваше устройство с меньшей вероятностью будет идентифицировано злоумышленниками. Это...

Учимся делать и управлять title и description для страниц сайта плагином Seopress (уроки SEO)

Из всей когорты seo плагинов Wordpress, которых достаточно много  я обычно выделяю SEOpress и работаю больше с ним. Из плюсов которые я выделяю для себя: очень понятный интерфейс охватывающий все детали seo оптимизации сайта, удобные настройки, возможность кастомизации. В общем для вас рекомендую также....

Проблема обновления Centos и Docker, что делать если не обновляется

На одном из серверов у себя уже месяца 4 не мог произвести обновления, возникал конфликт Docker с Centos. Плюс к этому надо прибавить установленный ISP manager и сайты на двух базах, одна из них основная Mysql 8 и вторая как раз таки в контейнере...

Как оптимизировать свой сайт для показателей Google Core Web Vitals

Контент остается решающим. Но если вы сравните два сайта с одинаковым текстом и популярностью, то тот, который предлагает лучший веб-опыт, получит более высокий приоритет в результатах поиска Google. Помимо улучшенного рейтинга страницы, высокопроизводительные сайты могут быть включены в карусель мобильного поиска. Ранее это было зарезервировано для ускоренных мобильных...

Core Web Vitals и WordPress SEO, скорость сайта как фактор ранжирования

В мае 2020 года Google объявил, что показатели качества страниц под названием «Core Web Vitals» станут фактором ранжирования в поиске Google. Это было наконец выпущено как часть обновления опыта страницы в июне 2021 года. Многие владельцы веб-сайтов упорно работают над улучшением своих показателей Core Web Vitals...

Ошибка добавления записей и постов в WordPress, решаем проблему с базой данных

Работая с одним из проектов заказчика столкнулся с ошибкой добавления постов. Они просто не добавлялись, залез в базу там висят несколько постов без номеров и перекрывают возможность добавлять новые. Ошибка Начал ковырять и вот как получилось исправить данную проблему Сделал резервную копию с помощью опции...