Exim, как найти и устранить источник спама на сайте

Exim самый распространённый сервис для работы с почтой на сервере, настолько же он имеет высокие риски того, что ваш сервер могут использовать для рассылки спама. Как с этим бороться и как найти источник спама на вашем сервере, сегодня мы подробно рассмотрим. Главное с чем мы будем работать, это логи, которые мы для начала выведем в том виде, который нам подскажет больше данных об отправке почты с сервера.

Часть первая, добавляем в конфиг данные

Первый шаг, это редактирование конфигурации exim. Находим папку с exim конфигом exim.conf, обычно он находится в папке etc/exim/ дальше будет либо папка exim с этим файлом, либо он будет лежать в корне. Открываем файл и находим в нем блок “log_selector =”, он будет выглядеть примерно так:

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+smtp_protocol_error

Изменяем его добавление строчки, после которой он должен выглядеть уже так

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+arguments
+smtp_protocol_error

Таким образом мы добавили отображение в логах директории, из которой происходит отправка писем. То есть, если спамеры внедрили к вам скрипт в одну из папок, то вы сможете увидеть папку, в которой этой файл вредный находится.

Теперь необходимо обязательно сделать перезапуск сервиса exim

Часть вторая, отслеживание по логам exim

Дальше надо отследить отправку писем с помощью ssh команды. Если вы не владеете работой по SSH то можете просто скачать файл exim.log из папки /var/log/ или /var/log/exim/ и после этого с помощью notepad +++ просмотреть данные по cwd аналогично описанному ниже в образце команд по SSH.

Для работы по SSH мы вводим команды

# cat /var/log/exim/main.log | grep cwd=
# cat /var/log/exim/main.log | grep cwd= | grep username
# cat /var/log/exim/main.log | grep cwd= | grep superdomain.com

Получаем данные об отправке почты и папке из которой она отправляется, если вы видите что указано нестандартное место для отправки писем, то соответственно вы нашли источник спама. Но тут надо тоже подойти детально. Первая команда позволяет получить все данные сервера. Вторая команда выделяет конкретного пользователя. Третья команда выделяет указанный домен.

После вывода команды вы увидите что то такое

2018-01-08 08:07:56 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 13:15:33 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 14:44:45 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru

Дальше, если у вас видна папка, из которой не должна уходить почта, переходите в журналы сайта и просматриваете access.log нужного вам домена. Ищете POST запросы и смотрите какой файл отсылает почту. После этого его удаляете и таким образом избавляетесь от спама.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

4 + = 8

OK2WEB
OK2WEB
Более 12 лет занимаюсь разработкой и продвижением сайтов. Городские порталы, информационные и новостные сайты. Сейчас в основном разрабатываю интернет магазины и коммерческие сайты. Если у вас есть вопросы пишите, стараюсь оперативно ответить и помочь.

Обновление Woodmart 6.1.3 что вышло нового: обзор всех изменений

Улучшение функционала и возможностей WoodMart WordPress продолжается и было выпущено новое значительное обновление 6.1. Основное направление сейчас - оптимизация как с точки зрения скорости, так и с точки зрения удобства пользователей. Много также изменений некоторых настроек темы, чтобы помочь людям находить некоторые настройки и...

Обзор визуального конструктора WordPress Zion Builder, легкий и пока бесполезный

Многие люди знают WordPress как инструмент для ведения блогов. Не ошибаюсь, но WordPress выходит за рамки этого. WordPress - это программное обеспечение CMS, которое можно использовать для создания веб-сайтов любого типа. Хотя WordPress очень помог в создании веб-сайта, плагин для создания страниц делает это еще проще. Вы можете использовать конструктор страниц, чтобы...

Быстрые покупки на Woocommerce – плагин Экспресс шоп, продажа товаров с 1 страницы

Express Shop - это надстройка WooCommerce для отображения всех продуктов на одной странице с помощью кнопки AJAX «Добавить в корзину». Покупатели могут быстро отфильтровать товары и ускорить процесс покупки. Функции включают в себя несколько шаблонов стилей , загружать больше, бесконечную прокрутку, быструю плавающую корзину,...

Как убрать вкладки на странице товаров Woocommerce (вариант Амазона без табов)

Если вам нравится макет страницы одного продукта Amazon, вам, вероятно, не нравится макет вкладок страницы одного продукта WooCommerce по умолчанию. В этом разделе по умолчанию отображаются «Описание», «Обзоры», «Дополнительная информация» и другое настраиваемое содержимое… в виде вкладок под изображением и кратким описанием. К счастью, есть очень...

Аналог Contact Form 7 – настройка и описание премиум плагина Form Builder

Начну с того почему я всегда использую аналог Contact Form 7 плагина для Wordpress и не рекомендую использовать этот плагин. Слишком большое распространение и бесплатность сыграли злую шутку с сайтами где этот плагин установлен. На него написано много инструментов автоматического спама. Вы еще не...

Структура базы данных WooCommerce: хранение данных, где что находится

Термин «база данных» широко используется и известен миллионам людей, но доля людей, которые имеют его в своем словарном запасе, не понимая, что он описывает, весьма значительна. Базы данных сегодня лежат в основе столь многих цифровых сервисов, что их легко полностью упустить из виду, но независимо...