ขอความช่วยเหลือครับ จะหาตัวการแอบส่ง spam mail ได้อย่างไรครับ

man · February 6, 2012, 4:52pm

พอดีเจอ log จาก exim/mainlog แบบนี้ครับ

2012-02-06 16:47:26 1RuLAU-0004Bi-Kp <= lxmzi@mail2world.com H=localhost (mail.xxx.net) [127.0.0.1] P=smtp S=2121 id=1339214090.56943396.1670052505304.JavaMail.app@ela5-bed64.prod T=“Blodwen Kelly has sent you a message” from <lxmzi@mail2world.com> for bechspr@adni.net

2012-02-06 16:47:34 1RuLAc-0004Bs-Ed <= support@threshold-digital.com H=localhost (mail.xxx.net) [127.0.0.1] P=smtp S=2184 id=1314305740.66895459.1281222028140.JavaMail.app@ela3-bed68.prod T=“Blodwen Jones has sent you a message” from <support@threshold-digital.com> for beautiful601@blackplanet.com

ส่วนใน Mail Queue จะเจอประมาณนี้ครับ

1RuLD8-0004KA-7D-H

mail 8 8

<>

1328521810 0

-ident mail

-received_protocol local

-body_linecount 66

-max_received_linelength 256

-allow_unqualified_recipient

-allow_unqualified_sender

-frozen 1328521814

-localerror

XX

1

billingsnn@customchrome.com

148P Received: from mail by ns3.xxx.net with local (Exim 4.71)

id 1RuLD8-0004KA-7D

for [email]billingsnn@customchrome.com[/email]; Mon, 06 Feb 2012 16:50:10 +0700

038 Date: Mon, 06 Feb 2012 16:50:10 +0700

047I Message-Id: <E1RuLD8-0004KA-7D@ns3.xxx.net>

049 X-Failed-Recipients: a_biasetti@agmmemorials.com

029 Auto-Submitted: auto-replied

058F From: Mail Delivery System <Mailer-Daemon@ns3.deeweb.net>

032T To: billingsnn@customchrome.com

059 Subject: Mail delivery failed: returning message to sender

ไม่ทราบว่าจะหาตัวการในกรณีนี้ได้อย่างไรครับ

รบกวนด้วยครับผม

icez · February 6, 2012, 5:02pm

grep 1RuLAc-0004Bs-Ed /var/log/exim/mainlog

ขอเพิ่มหน่อยครับ

man · February 6, 2012, 5:11pm

ได้แบบนี้ครับคุณไอซ์

grep 1RuLAc-0004Bs-Ed /var/log/exim/mainlog

2012-02-06 16:47:34 1RuLAc-0004Bs-Ed <= support@threshold-digital.com H=localhost (mail.xxx.net) [127.0.0.1] P=smtp S=2184 id=1314305740.66895459.1281222028140.JavaMail.app@ela3-bed68.prod T=“Blodwen Jones has sent you a message” from <support@threshold-digital.com> for beautiful601@blackplanet.com

2012-02-06 16:47:34 1RuLAc-0004Bs-Ed ** beautiful601@blackplanet.com F=<support@threshold-digital.com>: all relevant MX records point to non-existent hosts

2012-02-06 16:47:34 1RuLAc-0004Bu-G9 <= <> R=1RuLAc-0004Bs-Ed U=mail P=local S=3066 T=“Mail delivery failed: returning message to sender” from <> for support@threshold-digital.com

2012-02-06 16:47:34 1RuLAc-0004Bs-Ed Completed

man · February 6, 2012, 5:15pm

คิดว่าน่าจะเจอตัวการแล้วครับ

1191 4600 6.4 0.2 10640 8432 ? Ss Feb05 141:25 truer.pl

1191 4601 7.5 0.2 12192 9824 ? Ss Feb05 165:47 truer.pl

1191 4602 3.0 0.1 8724 6732 ? Ss Feb05 67:48 truer.pl

1191 4603 1.2 0.1 9828 6120 ? Ss Feb05 27:48 truer.pl

แต่ งงว่า ใน da ผมปิดไม่ให้ใช้ cgi/perl แล้วมันมารันได้อย่างไรครับ

mean · February 6, 2012, 5:34pm

ถ้า da ปิดตั้งแต่ user admin เราเลยครับพี่แสน หรือเห็นหลายๆ คน compile ปิดเลย

kke · February 6, 2012, 7:57pm

ต้อง compile apache ใหม่ครับใส่ --disable-cgi เข้าไป

ไม่งั้นมันแก้เปิด cgi ผ่าน .htaccess ครับ

man · February 6, 2012, 8:11pm

ขอบคุณทุกๆ ท่าน เลยครับ

man · February 6, 2012, 8:13pm

ปิดตั้งแต่ admin แล้วครับ ก็เลยงงๆ ว่ามันรันได้อย่างไรน่ะครับน้องมีน

man · February 6, 2012, 9:18pm

เข้าใจแล้วครับพี่แมน ขอบคุณมากครับ