@f_u_s_s
Любопытный кодер

Можно ли узнать, какой файл открыл SMTP соединение на сервере с Exim?

Хостер часто блокирует почтовый трафик на сервере, после последней проверки не удалось выявить каких-либо вредоносных скриптов, по заголовкам из писем удалось получить список файлов, которые выполняли отправку - они так же были проверены и угроз не несут. Возникло подозрение, что возможно помимо спама с помощью функции mail() на сервере, сервер подцепил что-то, что рассылает спам через сторонний сервер.

Команда lsof | grep smtp вывела:
[root@domain ~]# lsof | grep smtp
exim      12669                exim    3u     IPv6         1617849445         0t0        TCP *:smtp (LISTEN)
exim      12669                exim    4u     IPv4         1617849446         0t0        TCP *:smtp (LISTEN)
exim      21248                exim    10u    IPv4         1791358785         0t0        TCP domain.ru:52790->ol-in-f27.1e100.net:smtp (SYN_SENT)
exim      21957                exim    9u     IPv4         1791378187         0t0        TCP  domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT)
exim      21957                exim    10u    IPv4         1791378187         0t0        TCP  domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT)


После перезапуска exim:

[root@domain~]# lsof | grep smtp
exim      12669                exim    3u     IPv6         1617849445         0t0        TCP *:smtp (LISTEN)
exim      12669                exim    4u     IPv4         1617849446         0t0        TCP *:smtp (LISTEN)
exim      25222                exim    9u     IPv4         1792563905         0t0        TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT)
exim      25222                exim   10u     IPv4         1792563905         0t0        TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT)
exim      25227                exim    9u     IPv4         1792575077         0t0        TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED)
exim      25227                exim   10u     IPv4         1792575077         0t0        TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED)


Не силен в администрировании, но так понимаю, что перед перезапуском было открыто соединение с сервером ol-in-f27.1e100.net - явно какая-то нечисть. UDP - выяснил что это гугл, но через его SMTP с сервера ничего отправляться не должно. Только яндекс и выделенный почтовый сервер на стороне мелкомягких.

Собственно, возник вопрос: а можно ли узнать, какой файл на сервере открыл соединение с тем или иным сервером из вывода этой команды? Спасибо.
  • Вопрос задан
  • 263 просмотра
Пригласить эксперта
Ответы на вопрос 1
dobergroup
@dobergroup
Что-то знаю про РЭР и РЭБ
netstat -tap |grep smtp не подойдет?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы