Рассылка спама через мой сервер

Всем доброго времени суток. В корпоративной сети есть 2 сервера которые участвуют в рассылке спама. 1. Это веб-сервер на базе Linux version 2.6.32-5-openvz-amd64 (Debian 2.6.32-48squeeze3) 2. Это почтовый relay сервер. на базе Linux relay 3.2.0-4-amd64 #1 SMP Debian 3.2.68-1+deb7u1 x86_64

На сервере 1 установлен ssmtp для рассылки писем пользователям сайтов. Конфиг ssmtp

root=postmaster
mailhub=relay.website.ru
rewriteDomain=website.ru
hostname=host.ru

С сервера 1 постоянно рассылается спам через сервер 2. Сейчас postfix на 2 сервере выключен. и в syslog такие сообщения. повторяется каждые 5 секунд.

Aug  3 00:14:53 host sSMTP[3514]: Unable to connect to "relay.website.ru" port 25.
Aug  3 00:14:53 host sSMTP[3514]: Cannot open relay.website.ru:25

с сервера 2 вытащил тело писем которое рассылается

CO            832             635               1               0             832T.1438401309 844563A.create_time=1438401309A.log_ident=CF61933098A.rewrite_context=remoteS.www-data@website.ruA.log_client_name=unknownA log_client_address=
91.224.52.149A.log_client_port=54106A)log_message_origin=unknown[91.224.52.149]A.log_helo_name=host.ruA.log_protocol_name=SMTPA.client_name=unknownA.reverse_client_name=unknownA.client_address=91.234.52.149A.client_port=54106A.he
lo_name=virtuplex.ruA.protocol_name=SMTPA.client_address_type=2A.dsn_orig_rcpt=rfc822;darren_lee_18@hotmail.comO.darren_lee_18@hotmail.comR.darren_lee_18@hotmail.comM.N5Received: from host.ru (unknown [91.224.52.149])N5        by
 relay.website.ru (Postfix) with SMTP id CF61933098NG    for <darren_lee_18@hotmail.com>; Sat,  1 Aug 2015 06:55:09 +0300 (MSK)NUReceived: by host.ru (sSMTP sendmail emulation); Sat, 01 Aug 2015 06:55:19 +0300N#From: "www-data" <w
ww-data@website.ru>N%Date: Sat, 01 Aug 2015 06:55:19 +0300N.To: darren_lee_18@hotmail.comN&Subject: Fw:  The Awesome Babes VideosN'X-PHP-Originating-Script: 33:object.phpN6Reply-To:"Adele Vaughan" <adele_vaughan@timeforbes.ru>N.X-Priorit
y: 3 (Normal)N.MIME-Version: 1.0N-Content-Type: text/html; charset="iso-8859-1"N.Content-Transfer-Encoding: 8bitN.N.N.<div>N..<h2>The Awesome Babes Videos - <a href="http://damoncrenshawforjudge.com/components/com_search/models/utf.ph
p?ZmNwcGdsXW5nZ10zOkJqbXZvY2tuLGFtbw==">come to see it</a></h2>N.</div>N.X.A
encoding=8bitE.

на сервере 1 в папке /var/spool/cron/crontabs был файлик www-data c содержимым

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/var/tmp/zoSByWoFQa7 installed on Fri Jul 31 14:03:01 2015)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/15 * * * * /var/tmp/zoSByWoFQa >/dev/null 2>&1

в папке /var/tmp/ действительно лежал этот файл. содержимое не понятно. Я его удалил, на следующий день появился другой, с другим именем. Помогите локализовать заразу! Все перерыл. В логах авторизации нет ничего интересного. В syslog тоже нет ничего кроме вот этого

Aug  3 00:00:01 virtuplex /USR/SBIN/CRON[12071]: (www-data) CMD (/var/tmp/LMMgPnzAp >/dev/null 2>&1)

debian, вирусы, спам

exad
(03.08.15 00:29:31 MSK)

11 комментариев

Перенос bind9 c одного сервера на другой.

Подскажите пожалуйста, нужно перенести DNS сервер (bind9) с Gentoo на Debian 8. Правильно ли я понимаю, что достаточно перенести все конфиги (естественно с правками путей) включая файл rndc.key со старого на новый, или же rndc.key уникален для каждого сервера? DNS сервер обслуживает много доменов (внешних), так же на нем (путем isc-dhcp-server) динамически обновляются записи машин в локальной сети.

bind9, debian, dns, gentoo

exad
(02.06.15 17:11:11 MSK)

9 комментариев

Сообщения exad

Рассылка спама через мой сервер

Перенос bind9 c одного сервера на другой.