LINUX.ORG.RU
ФорумAdmin

Как отследить кто и как отправляет письма с сервера

 , , ,


2

2

Всем привет!

Нужна помощь в одном вопросе.. Есть сервер с debian squeeze,на нем хостится несколько php-сайтов, в качестве почтовика стоит exim4. Также среди юзеров одного из сайтов есть один надоедливый школоло, постоянно спамящий, регулярно ддосит сервер и т.д., как его уже только ни банили, всё никак не успокоится. Приноровились уже фильтровать его выходки, проблем не доставляет, однако, последние пару дней он начал периодически каким-то образом слать на админский ящик письма со всякими угрозами и т.д. от имени сервера. Не могу разобраться как он это делает. В логах особой информации об этих письмах не нашел, только что письмо было принято и доставлено.

Собственно говоря, куда копать? Можно ли включить какое-нибудь более детальное логирование, понять откуда он шлет и т.д.?

rfc-заголовки письма

tcpdump, wireshark

ansky ★★★★★ ()

В своём почтовом клиенте, откуда читаете письмо, включить отображение всех заголовков, либо посмотреть исходный код письма попробуйте.

Infra_HDC ★★★★★ ()

В случае php mail.add_x_header

В общем случае можно подменить sendmail

# mv /usr/sbin/sendmail /usr/sbin/sendmail.real

И создать затычку /usr/sbin/sendmail

#!/bin/bash

date >> /tmp/maillog.log
env >> /tmp/maillog.log
lsof -n -p $PPID >> /tmp/maillog.log
ps aux | grep $PPID >> /tmp/maillog.log
echo $@ >> /tmp/maillog.log
# и т.д.

exec /usr/sbin/sendmail.real $@

tungus ()
Последнее исправление: tungus (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.