Рассылается спам с сервера - как найти?

В случае, если с сервера рассылается спам, необходимо очистить почтовую очередь, а также найти и нейтрализовать вредоносный скрипт-источник рассылки.

#0. Очистка почтовой очереди

Для sendmail:

# rm -rf /var/spool/mqueue/*

Для exim:

# exipick -i | xargs exim -Mrm

Для postfix:

postsuper -d ALL

#1. Настройка логирования вызовов sendmail

Следующим шагом мы добавим системному sendmail-файлу функцию логирования.

# mv /usr/sbin/sendmail /usr/sbin/sendmail.original
# touch /usr/sbin/sendmail
# chmod 755 /usr/sbin/sendmail
# vi /usr/sbin/sendmail
#!/usr/local/bin/bash
logger -p mail.info sendmail-ext-log: site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail.original -t -i

Также, добавим имя sendmail.original в /etc/mail/mailer.conf

sendmail        /usr/libexec/sendmail/sendmail
sendmail.original       /usr/libexec/sendmail/sendmail

В логах /var/log/maillog теперь можно наблюдать кто и через какой скрипт спамит:

Oct 22 17:44:16 someuser root: sendmail-ext-log: site=, client=, script=, pwd=/usr/local/www/vhosts/site/activesite12/assets/modules/gallery2/modules/webdav/
po, uid=1004, user=someuser
Oct 22 17:44:13 someuser root: sendmail-ext-log: site=, client=, script=, pwd=/usr/local/www/vhosts/site/activesite12/assets/modules/gallery2/modules/webdav/
po, uid=1004, user=someuser

В завершение конечно хотелось бы сказать, что нужно не только удалять вредоносные скрипты, но и исследовать по логам пути их проникновения в систему, инициировать закрытие самих дыр в безопасности. Что должно быть очевидно.