Exim, как найти и устранить источник спама на сайте

Exim самый распространённый сервис для работы с почтой на сервере, настолько же он имеет высокие риски того, что ваш сервер могут использовать для рассылки спама. Как с этим бороться и как найти источник спама на вашем сервере, сегодня мы подробно рассмотрим. Главное с чем мы будем работать, это логи, которые мы для начала выведем в том виде, который нам подскажет больше данных об отправке почты с сервера.

Часть первая, добавляем в конфиг данные

Первый шаг, это редактирование конфигурации exim. Находим папку с exim конфигом exim.conf, обычно он находится в папке etc/exim/ дальше будет либо папка exim с этим файлом, либо он будет лежать в корне. Открываем файл и находим в нем блок “log_selector =”, он будет выглядеть примерно так:

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+smtp_protocol_error

Изменяем его добавление строчки, после которой он должен выглядеть уже так

log_selector =
+all_parents
+lost_incoming_connection
+received_sender
+received_recipients
+tls_cipher +tls_peerdn +tls_sni
+smtp_confirmation
+smtp_syntax_error
+arguments
+smtp_protocol_error

Таким образом мы добавили отображение в логах директории, из которой происходит отправка писем. То есть, если спамеры внедрили к вам скрипт в одну из папок, то вы сможете увидеть папку, в которой этой файл вредный находится.

Теперь необходимо обязательно сделать перезапуск сервиса exim

Часть вторая, отслеживание по логам exim

Дальше надо отследить отправку писем с помощью ssh команды. Если вы не владеете работой по SSH то можете просто скачать файл exim.log из папки /var/log/ или /var/log/exim/ и после этого с помощью notepad +++ просмотреть данные по cwd аналогично описанному ниже в образце команд по SSH.

Для работы по SSH мы вводим команды

# cat /var/log/exim/main.log | grep cwd=
# cat /var/log/exim/main.log | grep cwd= | grep username
# cat /var/log/exim/main.log | grep cwd= | grep superdomain.com

Получаем данные об отправке почты и папке из которой она отправляется, если вы видите что указано нестандартное место для отправки писем, то соответственно вы нашли источник спама. Но тут надо тоже подойти детально. Первая команда позволяет получить все данные сервера. Вторая команда выделяет конкретного пользователя. Третья команда выделяет указанный домен.

После вывода команды вы увидите что то такое

2018-01-08 08:07:56 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 13:15:33 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru
2018-01-08 14:44:45 cwd=/var/www/user/data/www/domen.ru 5 args: /usr/sbin/sendmail -t -i -f info@domen.ru

Дальше, если у вас видна папка, из которой не должна уходить почта, переходите в журналы сайта и просматриваете access.log нужного вам домена. Ищете POST запросы и смотрите какой файл отсылает почту. После этого его удаляете и таким образом избавляетесь от спама.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

37 − 32 =

OK2WEB
OK2WEB
Более 12 лет занимаюсь разработкой и продвижением сайтов. Городские порталы, информационные и новостные сайты. Сейчас в основном разрабатываю интернет магазины и коммерческие сайты. Если у вас есть вопросы пишите, стараюсь оперативно ответить и помочь.

WordPress 6 изучаем что было добавлено, улучшения и дополнения

Поздоровайтесь с «Arturo» и новой версией WordPress 6.0, вдохновленными обладателем Грэмми джазовым музыкантом Артуро О'Фарриллом . Известный своим влиянием на современный латиноамериканский джаз, Артуро выпустил более 15 альбомов, охватывающих работу за пять десятилетий. Потратьте некоторое время на изучение WordPress 6.0, созданного, чтобы помочь вам раскрыть...

Нехватки памяти для работы сайта WordPress – увеличиваем память в конфиге сайта

Просматривая журналы работы сайта вы можете увидеть очень частую ошибку нехватки Wordpress. Обычно это этом пишет предупреждение: PHP Warning: Use of undefined constant ‘WP_MEMORY_LIMIT’ - assumed '‘WP_MEMORY_LIMIT’' (this will throw an Error in a future version of PHP) То есть Вы видите ошибку исчерпания...

Google консультирует что запросы и показы в поиске отличаются по цифрам

Адвокат Google по поиску Джон Мюллер говорит, что показы, которые ваш сайт получает по ключевому слову, не являются показателем объема поиска по этому ключевому слову. Об этом говорится в Twitter в ответ на вопрос о том, можно ли использовать данные о показах в Google Search...

Инструкция WordPress cron, запуск, управление, решение ошибок, основные параметры

WP-Cron выполняет определенные задачи для сайтов на WordPress. Название Cron происходит от системы Unix для планирования заданий, от одного раза в минуту до одного раза в год. Будь то плановое обслуживание или запланированные предупреждения, любая команда, которая может быть выполнена в Unix без вмешательства...

Как использовать частный адрес Wi-Fi на iPhone и iPad

Последняя мобильная операционная система Apple предоставляет новую функцию безопасности, называемую частным адресом . Это помогает защитить ваши личные данные в общедоступных или незнакомых сетях Wi-Fi. У каждого устройства есть собственный встроенный адрес. Эта новая функция случайным образом создает новый адрес, поэтому ваше устройство с меньшей вероятностью будет идентифицировано злоумышленниками. Это...

Учимся делать и управлять title и description для страниц сайта плагином Seopress (уроки SEO)

Из всей когорты seo плагинов Wordpress, которых достаточно много  я обычно выделяю SEOpress и работаю больше с ним. Из плюсов которые я выделяю для себя: очень понятный интерфейс охватывающий все детали seo оптимизации сайта, удобные настройки, возможность кастомизации. В общем для вас рекомендую также....