Uncategorized

Если с сервера рассылается спам… Найти и обезвредить!

Как узнать, что с Вашего сервера рассылается спам:

  • на почту стали приходить ругательные ответы от жертв;
  • перестали уходить письма с сайта;
  • хостер написал гневное письмо, что Вы будете заблокированы за рассылку спама;
  • все вышеупомянутое и многое другое.

Причины:

  • слабый root-пароль;
  • настройки безопасности сервера никуда не годятся;
  • на сервере один или несколько сайтов на WordPress (как правило, виновата старая версия);
  • админ сервера — злоумышленник (да-да, не смейтесь, сплошь и рядом);
  • все вышеупомянутое и многое другое.

Последствия:

  • ваш email, домен и IP (а зачастую и вся подсеть) попадает в black-листы почтовых сервисов и глобальные black-листы (пару-тройку раз Вам простят, но однажды забанят навеки);
  • вас ненавидят жертвы рассылки;

Как лечить?

Нашел подробную статью, если хотите читать по-русски и сжато — читайте тут. Итак:

1. Останавливаем postfix

2. Получаем список очереди писем (это может быть ОЧЕНЬ много писем):

3. Желтым выделен ID письма (выбирайте письмо заведомо являющееся спамом). Скопируйте этот ID в команду, чтобы получить заголовки письма:

Находим фразу X-PHP-Originating-Script и видим имя файла, который генерирует спам. В данном случае это addwp.php .

4. Ищем возможные локации файла (их может быть много), указываем путь к папке с сайтами:

В зараженном файле обычно находится код вроде этого:

Удаляем такие фрагменты и повторяем для всех найденных файлов.

5. Возвращаемся в терминал и очищаем очередь писем:

6. Запускаем postfix:

7. Нужно также найти и убить спамящий процесс:

Enjoy!

Метод и картинки: Thomas Faddegon

Добавить комментарий