Как отловить сайт с которго идет спам с exim'a на сервере?

Здрвствуйте! Имеется VPS'ка на CENTOS c панелью ISPManager. С недавнего времени сервер стал часто падать,как оказалось из-за забитых inodes + писем в очереди было 2000000!!!!!! Ок,полез на инет за командами и через консоль почистил очередь и писем стало где-то 13000 и процент нагрузки снизился. Ок,думаю все норм,но не тут то было. Все по новой...inodes растут,очередь пополняется и думаю дай гляну чем exim занимается и обнаружил что он все пытается принять/отправить какие-то письма с адресов типа ljwang84@yahoo.com,damien@thermowrap.com.au и т.д. Потом командой top обнружил что exim больше всех появляется в процессах. Так вот к чему это я...на просторах нашел пост про выявления спам пользователя на серве,но там есть строчка команды,которая у меня не проходит,а если проходит то пишет просто 45 и все,а не как там путь к проблемным папкам.
Вот ссылка на всякий: Жмяк
А вот команда
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Может эту строку как-то под CENTOS переделать...просто я не знаю. На том сайте в коментах тоже писали,что на CENTOS не пашет и ничего чет не ответили. Далее нашел,что в php.ini можно настроить запись логов в папку /var/tmp/ и лог показал это:
[06-Feb-2016 18:51:22 Europe/Moscow] mail() on [/var/www/user/data/www/domain.ru/modules/core/mail/sendmail.php:25]: To: egorov@digitalb2b.ru -- Headers: X-HostCMS-Reason: Alert Precedence: bulk From: egorov@digitalb2b.ru X-Mailer: HostCMS Reply-To: <egorov@digitalb2b.ru> Return-Path: <egorov@digitalb2b.ru> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------145477388256B6167AC47DA"

Т.е. sendmail.php срабатывал,когда шла отправка. Далее зашел под пользователем user и посмотрел логи и там я увидел,что ОЧЕНЬ часто использовался скрипт отправки заявки:
66.249.78.251 - - [06/Feb/2016:19:58:38 +0300] "POST /instances.php HTTP/1.0" 200 1510 "http://domain.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Так весь лог,с разных страниц. Гуру администрирования сервов и просто знающие люди...что делать в таких ситуациях? Как блочить спам или как заблочить этого egorov@digitalb2b.ru? Просто чистить забитую очередь постоянно,не вариант. Заранее спасибо.
  • Вопрос задан
  • 593 просмотра
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
1. Проверьте безопасность почтового сервера, включите проверки: DNSBL и прочее.
2. Запретите прямой вызов скрипта отправки почты через GET.
3. Сделайте hash-ключ при клике в поле формы через ajax (это лучше капчи).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы