LINUX.ORG.RU
ФорумAdmin

Apache рассылает спам через postfix, как заблокировать отправителя apache@localdomain?


0

2

Где-то на сервер пропихнули malware, рассылающее спам. Поиск через maldet не помог. Суть в том, что от юзера apache@ идет рассылка такого вида: Apr 27 14:49:34 s07 postfix/qmgr[22848]: E978B3CC438A: from=<apache@localdomain>, size=70210, nrcpt=1 (queue active) как можно заблокировать отправку от пользователя apache@localdomain? настройка smtpd_sender_restrictions фильтрует только почту, пришедшую через smtp, а малварь субмитит почту локально через senmail и smtpd_sender_restrictions не срабатывает.

★★

ну вообще то, _ЭТО_ затыкание «пятой точки» вместо лечения диареи.

Atlant ★★★★★ ()

Тупо заменить sendmail своим скриптом

chegeware ()

А все скрипты, конечно же, выполняются под одним юзером?

Временно настрой sender_bcc_maps в Postfix, чтобы получать копии всех исходящих на заданный адрес. Automatic BCC recipients

В письмах, отправленных через PHP, должен быть заголовок, указывающий на конкретный скрипт.

; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = On

frozen_twilight ★★ ()
Последнее исправление: frozen_twilight (всего исправлений: 1)
Ответ на: комментарий от frozen_twilight

да в принципе в php.ini есть

mail.log

который может вести лог какой именно скрипт отправляет почту. Но у меня проблема другая - похоже малварь рассылает не через php а напрямую субмитит сообщения от пользователя apache вызывая

/usr/sbin/sendmail

Что я сейчас сделал - это переименовал /usr/sbin/sendmail в /usr/sbin/sendmail_php, далее в php.ini прописал

sendmail_path = /usr/sbin/sendmail_php

Таким образом, сейчас все нужные сайты спокойно отправляют почту через mail(), а я продолжаю искать малварь в системе.

LX ★★ ()
Ответ на: комментарий от frozen_twilight

уже нашел малварь:

ps -Af | grep apache

apache 14744 1 0 Apr25 ? 00:14:49 /usr/bin/crond

некий crond был запущен из под апача.

сам файл /usr/bin/crond не существует.

Если зайти в /proc/14744 то там видно, что exe этого процесса - это perl, а cwd - /tmp. В общем обычный троян, который при запуске удаляется. Всем спасибо за советы.

LX ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.