Cześć wszystkim !
Często mamy problem z jakimś kontem klienta który w swej głupocie ustawia hasło typu ” gienek12″. Oczywiście wiadomo że to tylko kwestia czasu kiedy booty się dopadną do tego konta…a w efekcie wylądujemy na spam listach… W tym wątku poruszymy temat jak szybko odnaleźć zainfekowany adres i zablokować niepożądany ruch.
Sprawdź co exim teraz robi:
# exiwhat
Najpierw musimy się zalogować przez ssh i sprawdzić logi
przechodzimy do katalogu logów:
cd /var/log/exim4
i podglądamy live pliczek mainlog:
tail -f mainlog
Po krótkiej obserwacji już widzimy który adres email został zainfekowany. W kolejnym kroku blokujemy ten adres w panelu klienta np. w DirectAdmin
Kolejnym krokiem będzie sprawdzenie listy wiadomości oczekujących wysyłki:
# exim -bp
Następnie najlepiej wykasować całą listę oczekującą na wysyłkę:
# exim -bp | awk '/^ *[0-9]+[mhd]/{print „exim -Mrm ” $3}’ | bash
Lub
# exim -bp | exiqgrep -i | xargs exim -Mrm
I ponownie sprawdzić czy aby kolejne wiadomości nie wchodzą do kolejki:
exim -bp
Po zablokowaniu adresu klienta należy niezwłocznie zmienić hasło do konta na silne zawierające znaki specjalne typu -=!@ duże i małę litery oraz cyfry. Można już przywrócić email do żywych i obserwować czy wszystko jest okej.
Pozdrawiam.