https://opennet.dev/openforum/vsluhforumID8/5600.html Привет всем. <br>Столкнулся с такой проблемой. У меня крякнули сайт и спамили через postfix от www-data. <br>Сайт я востановил, а спам продолжает валить. Подскажите где еще поискать?<br>Конфиг postfix.<br>main.cf <br>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)<br>biff = no<br><br>append_dot_mydomain = no<br><br>mydomain = domain.ru<br>myhostname = mail.domain.ru<br>myorigin = $mydomain<br>mydestination = $myhostname, localhost.$mydomain, localhost<br>relayhost = mail.provider.ru<br>mynetworks = 127.0.0.0/8 192.168.1.0/24 85.113.xxx.xxx 85.113.xxx.xxx<br>mailbox_size_limit = 0<br>recipient_delimiter = +<br>inet_interfaces = all<br>inet_protocols = all<br>mail_spool_directory = /var/mail<br>maps_rbl_reject_code=554<br><br>smtpd_helo_required = yes<br>smtpd_helo_restrictions = reject_invalid_hostname,<br> permit_mynetworks<br><br>smtpd_hard_error_limit = 8<br><br>strict_rfc821_envelopes = yes<br>disable_vrfy_command = yes<br><br>smtpd_client_restrictions = reject_rbl_client bl.spamcop.net<br><br>smtpd_sender_restrictions = re https://opennet.dev/openforum/vsluhforumID8/5600.html#4 Fri, 21 Mar 2008 20:01:22 GMT Всем спасибо, разобрался.<br>На сервере лежал сайт с форумом. В форуме хацкеры проковыряли дырку и добрались до SQL базы форумской. Там записали базу адресов и вирусню и благополуно спамили троянами через postfix.<br>Так что будте внимательны и почащще обновляйте движки сайтов.<br><br><br> https://opennet.dev/openforum/vsluhforumID8/5600.html#3 Sun, 09 Mar 2008 06:37:32 GMT &gt;&gt;&gt;Подскажите где еще поискать?<br>&gt;&gt;<br><br>может спамеры успели в очередь постфикса поднасрать не хило и щас он ее отправляет патихоньку...проверь чего там за письма, попробуй хедеры\тело письма глянуть спамного<br><br>как вариант по логи веб-сервера или grep на функцию mail() по всему сайту поможет найти скрипт.<br>возможно через cgi спамят?<br> https://opennet.dev/openforum/vsluhforumID8/5600.html#2 Sat, 08 Mar 2008 20:05:12 GMT &gt;&gt;Подскажите где еще поискать?<br>&gt;<br>&gt;В логах постфикса. Потом в текстах скриптов сайта. <br><br>Логи смотрел, не нашел. Вот кусок<br>Mar 8 09:35:41 localhost postfix/qmgr[8013]: 849CA3D01C2: from=&lt;www-data@domen.ru&gt;, size=2407, nrcpt=1 (queue active)<br>Mar 8 09:35:41 localhost postfix/qmgr[8013]: 84A753D02D8: from=&lt;www-data@domen.ru&gt;, size=2420, nrcpt=1 (queue active)<br>Mar 8 09:35:41 localhost postfix/qmgr[8013]: 9FB883D02D1: from=&lt;www-data@domen.ru&gt;, size=2424, nrcpt=1 (queue active)<br>Mar 8 09:35:41 localhost postfix/qmgr[8013]: D1D543D02F9: from=&lt;www-data@domen.ru&gt;, size=2416, nrcpt=1 (queue active)<br>Mar 8 09:35:41 localhost postfix/smtp[9866]: B583C3D02DD: to=&lt;acassytwisync@mymail-in.net&gt;, relay=mail.intercon.ru[85.113.128.132]:25, delay=23649, delays=2<br>Mar 8 09:35:41 localhost postfix/smtp[9865]: A5B4E3D025C: to=&lt;menpa@atd1905.ru&gt;, relay=mail.intercon.ru[85.113.128.132]:25, delay=65315, delays=65315/0.11/0<br>Mar 8 09:35:41 localhost postfix/smtp[9867]: A6B443D0244: to=&lt;sakddhsajd@naidi-menya.ru&gt;, relay=mail https://opennet.dev/openforum/vsluhforumID8/5600.html#1 Sat, 08 Mar 2008 19:53:27 GMT &gt;Подскажите где еще поискать?<br><br>В логах постфикса. Потом в текстах скриптов сайта. <br>