В случае, если с сервера рассылается спам, необходимо очистить почтовую очередь, а также найти и нейтрализовать вредоносный скрипт-источник рассылки.
Для sendmail:
# rm -rf /var/spool/mqueue/*
Для exim:
# exipick -i | xargs exim -Mrm
Для postfix:
postsuper -d ALL
Следующим шагом мы добавим системному sendmail-файлу функцию логирования.
# mv /usr/sbin/sendmail /usr/sbin/sendmail.original # touch /usr/sbin/sendmail # chmod 755 /usr/sbin/sendmail # vi /usr/sbin/sendmail
#!/usr/local/bin/bash
logger -p mail.info sendmail-ext-log: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail.original -t -i
Также, добавим имя sendmail.original в /etc/mail/mailer.conf
sendmail /usr/libexec/sendmail/sendmail sendmail.original /usr/libexec/sendmail/sendmail
В логах /var/log/maillog теперь можно наблюдать кто и через какой скрипт спамит:
Oct 22 17:44:16 someuser root: sendmail-ext-log: site=, client=, script=, pwd=/usr/local/www/vhosts/site/activesite12/assets/modules/gallery2/modules/webdav/ po, uid=1004, user=someuser Oct 22 17:44:13 someuser root: sendmail-ext-log: site=, client=, script=, pwd=/usr/local/www/vhosts/site/activesite12/assets/modules/gallery2/modules/webdav/ po, uid=1004, user=someuser
В завершение конечно хотелось бы сказать, что нужно не только удалять вредоносные скрипты, но и исследовать по логам пути их проникновения в систему, инициировать закрытие самих дыр в безопасности. Что должно быть очевидно.