DirectAdmin มี mail sending queue ยาวเหยียดเลยครับ สแปมล้วน ทำไงดี

handsome1 · July 16, 2009, 4:18pm

ตอนนี้มีเยอะมากครับ ไม่ทราบว่ามีวิธีดูไหมว่ามันมาจากไหน มีวิธีใดจัดการกะมันยังไงได้บ้าง

ลืมบอกไปครับ DA 1.31.5 เปิดใช้ SpamAssassin ที่ Threashold 4.0

Server นี้เป็น dedicate ใช้เฉพาะเวบบริษัท + pop3 mail ไม่ถึง 10 account เองครับ

handsome1 · July 16, 2009, 4:22pm

ลองคลิ๊กดูสักอันนะครับ ตรงส่วน Header จะมียังงี้
ปล. แทนที่โดเมนด้วย domain.com เพื่อความปลอดภัยครับ

Header


--------------------------------------
1MRN4i-0000a4-Bs-H
mail 8 12
&lt;&gt;
1247735784 0
-ident mail
-received_protocol local
-body_linecount 69
-allow_unqualified_recipient
-allow_unqualified_sender
-frozen 1247735784
-localerror
XX
1
[email]gustavill@terra.es[/email]

143P Received: from mail by ns1.domain.com with local (Exim 4.60)
	id 1MRN4i-0000a4-Bs
	for [email]gustavill@terra.es[/email]; Thu, 16 Jul 2009 16:16:24 +0700
042

bestthaihost · July 16, 2009, 4:37pm

โดนมือดีเอา server เราไปส่ง spam แล้วครับ

เบื้องต้นสั่ง ลบ mail queue ทิ้งให้หมดก่อนครับ
exim -bpru|awk {‘print $3’}|xargs exim -Mrm

เสร็จแล้ว ลองตรวจสอบดูว่า server เราเป็น open relay หรือเปล่า
แล้วก็ตรวจดูว่ามี perl process run อยู่หรือเปล่า

hack3rb43 · July 16, 2009, 4:39pm

เคย update exim บ้างใหมครับ รุ้สึกว่า เก่ามากเลยนะครับ

kke · July 16, 2009, 4:40pm

เป็น return mail ว่าไม่มีผู้รับปลายทางครับ
คาดว่าติดไวรัส อ่านอันนี้ดูครับ

คาดว่า ps auwx|grep perl เจอแน่ๆครับ dark.cgi หรือ coms.cgi เป็นแถบ

mean · July 16, 2009, 5:21pm

นี่คือคำเตือน รีบ จัดการโดยด่วนครับ
ก่อนที่จะเจอปัญหาส่งเมล์ไป hotmail หรือ yahoo ไม่ได้อีกเลย…

handsome1 · July 16, 2009, 9:30pm

T_T

Dark.cgi เพียบเลยครับ เฮ้อ

bestthaihost · July 16, 2009, 9:33pm

ได้เปิดใช้งาน cgi ให้ web ไหนไว้หรือเปล่าครับ
อย่าเพิ่งรีบ kill process cgi นั้นทิ้งนะครับ ไม่งั้นจะหาต้นตอยาก
ก่อนจะ Kill ให้ใช้คำสั่ง
lsof -p pid
ดู process เจ้าปัญหาก่อนว่า อยู่ที่ไฟล์ไหน มาจาก website อะไร แล้วค่อยจัดการครับ

neverdie · July 16, 2009, 9:49pm

ใช้แค่ในบริษัท ไม่น่าเจอแบบนี้นะ โดนแฮกป่าวเนี่ย

handsome1 · July 17, 2009, 12:09am

T_T ดูไม่ทันแล้วครับเพราะผมรีบลบเรียบแล้วครับ
เวบหลักเป็นเวบบริษัท ที่เหลือเป็นเวบส่วนตัวของผมเอง ดังนั้นน่าจะโดนแฮ๊กมากกว่า ตอนนี้ก็เปลี่ยนพาสเวิร์ดใหม่หมดแล้วเข้าไปไล่ดู+ลบหมดแล้ว หายไปก็จริงแต่ก็ไม่รู้เลยว่าเข้ามาทางไหน

kke · July 17, 2009, 4:21am

ตาม link ที่ให้ไปครับ ลองอ่านดู อธิบายไว้หมดแล้ว มาตามนั้น 100%

top หรือ ps แล้วดูชื่อ user เจ้าของ process ก็ทราบแล้วครับ (ถ้า user นั้นไม่มีหลายโดเมนให้ต้องเดา แต่ถ้ามีหลายโดเมนก็ lsof ตามนั้นเลยครับ

bestthaihost · July 17, 2009, 10:21am

owner ของ process cgi จะเป็น apache น่ะสิครับ ทำให้ไม่สามารถดูได้ว่า domain ไหนเป็นตัวก่อเหตุ
แล้วส่วนใหญ่เท่าที่เจอมา ตัว cgi นี้เมื่อถูกรันแล้วจะเป็น background process ส่วนไฟล์ script นั้นจะโดนลบทันที
ทำให้ search หาไฟล์ cgi ไม่เจอครับ

icez · July 17, 2009, 10:44am

เอ๊ะ da ไม่ได้เปิด CGI suexec ให้หรอครับ

hack3rb43 · July 17, 2009, 11:02am

มะนะครับเซียน ice

tail -f /var/log/httpd/suexec_log

kke · July 17, 2009, 1:20pm

เอ่ ของผมทุกเครื่อง top ดูก็เห็นเป็นชื่อ user เลยนะครับ ไม่เป็น apache

ThaiTumweb · July 17, 2009, 2:59pm

เปิดนะครับ ถ้า uid ไม่ใช่ไม่มีทางรัน cgi ได้
ถ้า รันโดย apache สงสัยจะโดนวาง ที่ default cgi แล้ว

system · May 16, 2016, 7:40am