Looking Glass
Telegram канал
# mailq
┌---ID номер письма ┌--- отправитель
↓ ↓
8679236268CA 741 Sun Oct 27 11:59:53 robin_franklin@oknoff-nn.ru
hamidreza_fartash@yahoo.com
^
└---- получатель
-- 18767 Kbytes in 13415 Requests.
└------- количество писем в очереди
Очистить почтовую очередь. ВСЮ.
# postsuper -d ALL
postsuper: Deleted: 16645 messages
Ищем исходящий спам
сортируем почтовую очередь по домену отправителя
mailq | egrep '\w{2,3}.*\d*:\d*.*@.*\..*' --color|awk '{print $7}'|cut -d@ -f2|sort|uniq -c
в ответ получаем что-то подобное:
8282 oknoff-nn.ru
1 stjoelive.com
2873 su-sushi.ru
4884 zub-nn.ru
например, здесь видно что с трех доменов шлется спам большим количеством.
из списка почтовой очереди mailq берем первый попавшийся номер письма от нужного нам домена (с которого рассылается спам)
Postfix
Просмотреть почтовую очередь
# mailq
a
┌---ID номер письма ┌--- отправитель
↓ ↓
8679236268CA 741 Sun Oct 27 11:59:53 robin_franklin@oknoff-nn.ru
hamidreza_fartash@yahoo.com
^
└---- получатель
-- 18767 Kbytes in 13415 Requests.
└------- количество писем в очереди
Очистить почтовую очередь. ВСЮ.
# postsuper -d ALL
postsuper: Deleted: 16645 messages
Ищем исходящий спам
сортируем почтовую очередь по домену отправителя
mailq | egrep '\w{2,3}.*\d*:\d*.*@.*\..*' --color|awk '{print $7}'|cut -d@ -f2|sort|uniq -c
в ответ получаем что-то подобное:
8282 oknoff-nn.ru
1 stjoelive.com
2873 su-sushi.ru
4884 zub-nn.ru
например, здесь видно что с трех доменов шлется спам большим количеством.
из списка почтовой очереди mailq берем первый попавшийся номер письма от нужного нам домена (с которого рассылается спам)
postcat -vq DB0EC3623A87 ---номер письма
и в ответ получаем:
.....
.....
regular_text: Received: by lw224.ua-hosting.com.ua (Postfix, from userid 600)
^--------- номер пользователя в системе, с которого идет рассылка
regular_text: id DB0EC3623A87; Sun, 27 Oct 2013 12:01:18 +0200 (EET)
regular_text: To: capplewhaite@aol.com
regular_text: Subject: Re: Young exaciting blonde posing nude on the balcony
regular_text: X-PHP-Script: su-sushi.ru/wp-content/themes/su-sushi/languages/gallery.php for 217.195.176.194, 217.195.176.194
^----------- путь к скрипту, с которого рассылался спам - вирус :)
regular_text: From: "Dana Carey" <dana_carey@su-sushi.ru>
regular_text: Reply-To: "Dana Carey" <dana_carey@su-sushi.ru>
regular_text: X-Priority: 3 (Normal)
regular_text: MIME-Version: 1.0
regular_text: Content-Type: text/html; charset="iso-8859-1"
regular_text: Content-Transfer-Encoding: 8bit
regular_text: Message-Id: <20131027100118.DB0EC3623A87@lw224.ua-hosting.com.ua>
regular_text: Date: Sun, 27 Oct 2013 12:01:18 +0200 (EET)
regular_text:
regular_text:
regular_text: <div>
regular_text: <p>
regular_text: hehe did you see this? <a href="http://anajakcomputer.com/tmp/install_502fcf4d7cdfc/components/com_virtuemart/themes/default/templates/common/general.php">Young exciting blonde posing nude on the balcony</a>
regular_text: </p>
regular_text: </div>
regular_text:
теперь мы знаем с какого скрипта отправляется спам.
И так, по каждому домену, с которого рассылается спам большими объемами
Если нет строки X-PHP-Script
в таком случае нужно проверить всю папку домена на наличие вирусов.
Надеемся данная информация принесла Вам пользу. Любые комментарии, предложения, благодарности, возражения оставляйте ниже в этой теме.
Компания HyperHost желает вам приятной работы!
http://hyperhosting.com.ua
