Переполняются мейл очереди и логи при отключенном sendmail
Прежде всего хочу отметить, что я практически нуб, поэтому, очень прошу спецов не кидать в меня «исползуй superxyz», а все же писать более или менее подробно ;) заранее спасибо
Переполняются папки /var/spool/mqueue /var/spool/clientmque и лог соответственно Sendmail я уже вырубил, но это все равно происходит и съедает за сутки все дисковое пространство! sendmail is stopped sm-client is stopped
ОТРЫВОК ИЗ /var/log/maillog (несколько гигов уже) адреса естественно не существующие
n=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30442]: rB8Arbwt030442: Authentication-Warning: МОЙСЕРВЕР.vm.clodoserver.ru: apache set sender to lucille_peck@mysite1.ru using -f Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30443]: rB8ArboW030443: Authentication-Warning: МОЙСЕРВЕР.vm.clodoserver.ru: apache set sender to janet_mendez@mysite2.ru using -f Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30442]: rB8Arbwt030442: from=lucille_peck@mysite1.ru, size=478, class=0, nrcpts=1, msgid=<201312081053.rB8Arbwt030442@МОЙСЕРВЕР.vm.clodoserver.ru>, relay=apache@localhost Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30444]: rB8Arbtg030444: Authentication-Warning: МОЙСЕРВЕР.vm.clodoserver.ru: apache set sender to kaye_underwood@mysite3.ru using -f Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30443]: rB8ArboW030443: from=janet_mendez@mysite2.ru, size=438, class=0, nrcpts=1, msgid=<201312081053.rB8ArboW030443@МОЙСЕРВЕР.vm.clodoserver.ru>, relay=apache@localhost Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30442]: rB8Arbwt030442: to=chilukuri.pavankalyan@gmail.com, ctladdr=lucille_peck@mysite1.ru (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30478, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30443]: rB8ArboW030443: to=jcook3140@yahoo.com, ctladdr=janet_mendez@mysite2.ru (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30438, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30446]: rB8ArbHO030446: Authentication-Warning: МОЙСЕРВЕР.vm.clodoserver.ru: apache set sender to janet_mendez@mysite2.ru using -f Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30445]: rB8ArbQb030445: Authentication-Warning: МОЙСЕРВЕР.vm.clodoserver.ru: apache set sender to lucille_peck@mysite1.ru using -f Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30444]: rB8Arbtg030444: from=kaye_underwood@mysite3.ru, size=465, class=0, nrcpts=1, msgid=<201312081053.rB8Arbtg030444@МОЙСЕРВЕР.vm.clodoserver.ru>, relay=apache@localhost Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30446]: rB8ArbHO030446: from=janet_mendez@mysite2.ru, size=435, class=0, nrcpts=1, msgid=<201312081053.rB8ArbHO030446@МОЙСЕРВЕР.vm.clodoserver.ru>, relay=apache@localhost Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30445]: rB8ArbQb030445: from=lucille_peck@mysite1.ru, size=473, class=0, nrcpts=1, msgid=<201312081053.rB8ArbQb030445@МОЙСЕРВЕР.vm.clodoserver.ru>, relay=apache@localhost Dec 8 10:53:37 МОЙСЕРВЕР sendmail[30444]: rB8Arbtg030444: to=datason@gmx.deo, ctladdr=kaye_underwood@mysite3.ru (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30465, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
NMAP
nmap -sT -O localhost
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-08 10:48 UTC Nmap scan report for localhost (127.0.0.1) Host is up (0.00019s latency). rDNS record for 127.0.0.1: localhost.localdomain Not shown: 996 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 3306/tcp open mysql 65000/tcp open unknown <------ это какой-то внутренний порт хостера (как они говорят) Device type: general purpose Running: Linux 2.6.X|3.X OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 OS details: Linux 2.6.32 - 3.2, Linux 3.0 - 3.1 Network Distance: 0 hops
Вполне вероятно, что это и какая-то бэкдор-гадость (на сервере десяток сайтов на неслишком правильных цмс типа wordpress). Периодически нахожу закладки примитивными средствами типа поиска по base64. Иногда даже бомбили сайты установкой редиректов.
Собственно задача у меня как раз не только обрубить но и найти «что за на» и откуда (отследить скрипт или что-бы то ни было что позволяет иметь систему). Знаний естессно не хватает а гугление дает только обрывки инфы в основном ориентированые на спецов.
Очень нужна ваша помошь. Заранее благодарен