Хостер часто блокирует почтовый трафик на сервере, после последней проверки не удалось выявить каких-либо вредоносных скриптов, по заголовкам из писем удалось получить список файлов, которые выполняли отправку - они так же были проверены и угроз не несут. Возникло подозрение, что возможно помимо спама с помощью функции mail() на сервере, сервер подцепил что-то, что рассылает спам через сторонний сервер.
Команда lsof | grep smtp вывела:
[root@domain ~]# lsof | grep smtp
exim 12669 exim 3u IPv6 1617849445 0t0 TCP *:smtp (LISTEN)
exim 12669 exim 4u IPv4 1617849446 0t0 TCP *:smtp (LISTEN)
exim 21248 exim 10u IPv4 1791358785 0t0 TCP domain.ru:52790->ol-in-f27.1e100.net:smtp (SYN_SENT)
exim 21957 exim 9u IPv4 1791378187 0t0 TCP domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT)
exim 21957 exim 10u IPv4 1791378187 0t0 TCP domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT)
После перезапуска exim:
[root@domain~]# lsof | grep smtp
exim 12669 exim 3u IPv6 1617849445 0t0 TCP *:smtp (LISTEN)
exim 12669 exim 4u IPv4 1617849446 0t0 TCP *:smtp (LISTEN)
exim 25222 exim 9u IPv4 1792563905 0t0 TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT)
exim 25222 exim 10u IPv4 1792563905 0t0 TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT)
exim 25227 exim 9u IPv4 1792575077 0t0 TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED)
exim 25227 exim 10u IPv4 1792575077 0t0 TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED)
Не силен в администрировании, но так понимаю, что перед перезапуском было открыто соединение с сервером ol-in-f27.1e100.net - явно какая-то нечисть.
UDP - выяснил что это гугл, но через его SMTP с сервера ничего отправляться не должно. Только яндекс и выделенный почтовый сервер на стороне мелкомягких.
Собственно, возник вопрос: а можно ли узнать, какой файл на сервере открыл соединение с тем или иным сервером из вывода этой команды? Спасибо.