Если у вас есть учетные записи, которые взламывают для рассылки спама, я предполагаю, что в их системе установлен какой-то сценарий спама.
Прежде чем начать : я приобрел сканер Configserver eXploit около двух лет назад, он сканирует файлы на сервере и помогает мне определить некоторые сценарии спама, прежде чем их можно будет использовать. Возможно, вы захотите посмотреть и эту программу, если столкнетесь с этой проблемой.
Если это действительно так, то это руководство весьма полезно для решения проблемы. Это помогло мне найти файлы, которые отправляют большое количество почты уже несколько раз.
Это сводится к следующему:
1. Запустите следующую команду. Он дает вам список каталогов, из которых были отправлены электронные письма. Это ищет ваш exim_mainlog(находится /var/log/exim_mainlogпо умолчанию). Если спам был отправлен давно, возможно, что с тех пор файл журнала был повернут, и вы не сможете найти каталоги с помощью этой команды. Попробуйте найти старый файл журнала и выполнить grepвместо него первую команду.
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '' | awk '' | sort | uniq -c | sort -n 2. Перейдите в каталоги, возвращенные командой выше, и осмотрите там файлы. По моему опыту, большинство из этих спам-скриптов используют довольно очевидные имена файлов, но не повредит проверять файлы, в которых вы не уверены.
3. Просмотрите журнал доступа Apache, чтобы определить, кто вызывает скрипт. Эта команда перечисляет все IP-адреса, которые обращались к файлу с возрастающей частотой.
grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '' | sort -n | uniq -c | sort -n 4. Также возможно, что команда выполняется с помощью задания cron. Используйте эту команду для проверки пользовательских заданий cron.
crontab -l -u <username> 5. Примите соответствующие меры
Вы можете приостановить учетную запись, заблокировать IP-адреса, которые обращались к сценарию, или удалить содержимое. Делайте то, что считаете лучшим для вас.