自分が利用しているサーバが迷惑メール発信源になっているのを止めたい!

> X-PHP-Originating-Script: 10008:mag2.php
ここが気になりましたが、何かメール送信を行えるようなスクリプトは設置していますか？

各サイトに最低1つお客さまからのメールフォームは設置しています。
でも、phpではなくperlですね・・・("～mag2.php"は、そういうことではない?)

phpでメールを発信しそうな物、phpBBは怪しいですか?
問題が起きるさらに数日前にインストールしました。

別なログも取ってみましょうか。
php.iniにメール送信時のログを保存する設定を追記します。
方法、ログフォーマットなどは、下記ダイアリを参照に。
http://d.hatena.ne.jp/shimooka/20090112/1231686943

これでどのスクリプトから送信されているかが分かるかと思います。
お客様が設置したものかもしれませんが、身に覚えがない物でしたら、第三者によるアクセスがあったのかもしれません。

> phpBBは怪しいですか?
こちらは、利用していない為、不明です。
(ダウンロードしたパッケージ内に、mag2.phpというファイルは無さそうですね。)

事情が分からないけどリレーの設定はどうなってますか？

返答ありがとうございます。

リンク先を確認してみましたが、サーバについてはあまり知識がない為何がどうなっているのかが全然わからないです。

php.iniは発見できました。
mail.add_x_header = On
;mail.log =
となっていました。
";"はコメントアウトの意味ですよね?
この状態を
mail.log = /path/to/mail.log
に変える事までは理解できましたが、
------
<?php
mail('shimooka', 'test', 'hogehoge');
------
ここから先がどうしたらよいのかが理解できませんでした。
(ファイルをどこかに保存?場所やファイル名は?CLI版PHP??)

すみませんが、詳細を教えていただけないでしょうか。

また、ローカルのデータを確認してみましたが、「mag2.php」はありませんでした。

おっと、コメント欄で会話が進んでますね。
phpBBの最新版なら、この問題は無いと思います。

>standard_one さん
>事情が分からないけどリレーの設定はどうなってますか？
リレーの設定とは…
どこを確認したらよいでしょうか?

>パパトモ さん
サイト確認しました。
メインドメインで確認して、これどうなればいいの?を確認しようと思って入力画面に戻り、再度サーバのIPで確認しようとしたら短い時間での検索ダメ!って怒られたのですが、多分青い文字で「no relays accepted.」と出てたはずです。

あ!
standard_oneさんの返答にもなりますが、
また、サーバの設定で(PLESKを利用)、「サーバ全体のメール設定」→リレーオプション→メールリレー→「認証が必要」の「SMTP」にチェックが入っています。
これは「SMTP-Auth」設定が出来ているということでしょうか?

また、もしかしたらこの件と関係あるかもしれませんが…
数ヶ月前、サーバに攻撃を受け同じレンタルサーバ会社内でプラン変更して移動を行いました。
その際、phpBBを利用していたのでそのデータも移動したのですが、気が付いたら(普段そう多くの人が利用していなかったので…)新記事書き込みも管理人のコントロールパネルへのアクセスもできなくなってしまいました。(各記事の表示はできています。)
その為、数日前に最新バージョンのphpbbをダウンロードしてきて現在手作業でデータを移しています。
もしかしてですけど、このアクセスできなくなってしまった旧phpbbが何かされた可能性はないでしょうか?
多分、旧phpbbは3.0.11だと思います。(素材フォルダにzipがありました)

おっと、「/path/to/mail.log」はそのまま記述すると、上手く動作しないと思います。
「/var/log/mail.log」という様に、他のログが居る場所を指定してあげると良いですね。

> <?php
> mail('shimooka', 'test', 'hogehoge');
こちらは、どのような動作をするかを試すための短いphpスクリプトです。
例えば、
mail('送信先メールアドレス', '件名', '本文');
と置き換えて、ブラウザからこのphpスクリプトを呼び出すと、送信先メールアドレス宛にメールが送信されます。

>ぽけっとしすてむ さん

メール届きました!
これは、何を書き込みしたらよいでしょうか?

>ぽけっとしすてむ さん

/var/log/mail.log
には何も書かれていませんでした。
あ!MAILER DAEMONのヘッダーを張り付ければOKでしょうか?
現在、あまりにも大量に来てたので、サーバのメールフィルターで全部削除にしてました。

SMTP-Authの設定は大丈夫そうですね。

no relays acceptedの青文字は沢山出てくると思います。
全部no relays acceptedで、赤い文字がなければ不正リレーの可能性はありません。

そうなるとphpBBかな・・・

mail.log = /path/to/mail.log

と設定されたなら、mail.logに先ほどのテストも含めてログが書かれているはずです。
mail.logに何が記録されているか見れば、原因を掴めるのではないでしょうか。

届いたメールのヘッダに
X-PHP-Originating-Script:(数字とファイル名)
が含まれているのが確認できます。
そして、ログ保存の設定が正しければ、指定した場所に送信ログが残っています。
ログ側には、スクリプトが設置されたパスが記録されていると思いますので、それを参考に原因を特定してくことになります。

おそらく、No1のコメントにあるように、何らかのセキュリティホールを利用されたのだと考えられます。

PHPがApacheのモジュールなら、Apacheを再起動しないとphp.iniの設定は反映されませんよ

もしかして、まぐまぐの何かサービスを使ってませんか？

>パパトモ さん
>Apacheを再起動しないと

ですよね…
/etc/rc.d/init.d/httpd restart
で再起動しました。
しかし、mail.logの方は空っぽですね…
mail.log =/var/log/mail.log
で間違えはないですよね?
量は減りましたがやはりMAILER-DAEMONは届いています。

例えばですが、旧phpbb(管理ページにアクセスできなくなってしまった物)が何か悪いとした場合、ここを見る事は出来ても動作させないようにするにはphpbbが入っているディレクトリ以下すべてを644等実行禁止にすることで止まる可能性はあるでしょうか?

>パパトモ さん

>まぐまぐの何かサービスを
ちょっと調べてみます。

メールヘッダが正しい（偽装されていなければ）ならば、mag2.php が送信しているのだと思います。

phpBB3なら、メールに関するセキュリティホールは無いと思いますから、実行禁止にしても状況は変わらないと思います。MAILER-DAEMONの返事は時差があったりしますから、すでに送信済みのメールによるものかもしれません。

連投ごめんなさい。

mag2.phpで思いあたるのは、まぐまぐのサービスなのです。
まぐまぐのサービスが問題ということではありませんが、mag2.phpが何かヒントをくれているはずです。

今来てるのはこんな感じです。
また、まぐまぐのサービスは使っていないような気がします。

Received: (qmail 6321 invoked by alias); 5 Dec 2013 18:53:47 +0900
Delivered-To: postmaster@△△△△.cp.レンタルサーバ会社のドメイン
Received: (qmail 6316 invoked for bounce); 5 Dec 2013 18:53:47 +0900
Date: 5 Dec 2013 18:53:47 +0900
From: MAILER-DAEMON@△△△△.cp.レンタルサーバ会社のドメイン
To: postmaster@△△△△.cp.レンタルサーバ会社のドメイン
Subject: failure notice
X-Antivirus: avast! (VPS 131204-2, 2013/12/05), Inbound message
X-Antivirus-Status: Clean

------------
また、本文のオリジナルメッセージ部分には以下の表記が。
Return-Path: <>
Received: (qmail 6310 invoked from network); 5 Dec 2013 18:53:47 +0900
Received: from if00-mail-sr02-mia.mta.terra.com (208.84.243.9)
by △△△△.cp.レンタルサーバ会社のドメイン with SMTP; 5 Dec 2013 18:53:47 +0900
Received: from dresden.tpn.terra.com (unknown [10.235.200.119])
by mail-sr02-mia.tpn.terra.com (Postfix) with ESMTP id 2E70E600224D
for <psaadm@△△△△.cp.レンタルサーバ会社のドメイン>; Thu, 5 Dec 2013 09:53:46 +0000 (UTC)
Received: by dresden.tpn.terra.com (Postfix, from userid 520)
id 2D2A4C0000099; Thu, 5 Dec 2013 09:53:46 +0000 (UTC)
Auto-Submitted: auto-replied
Precedence: junk
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
In-Reply-To: <○○○.30390.qmail@△△△△.cp.レンタルサーバ会社のドメイン>
References: <○○○.30390.qmail@△△△△.cp.レンタルサーバ会社のドメイン>
X-Terra-Delivered-To: 2315106#perm!terra
From: danielnader@gmail.com
To: psaadm@△△△△.cp.レンタルサーバ会社のドメイン
Subject: [Automatic Message] =?iso-8859-1?q?Mudan=E7a?= de e-mail
Message-Id: <20131205095346.2D2A4C0000099@dresden.tpn.terra.com>
Date: Thu, 5 Dec 2013 09:53:46 +0000 (UTC)

Received: from if00-mail-sr02-mia.mta.terra.com (208.84.243.9)

とあるので、208.84.243.9から要求されたメールが送信されたというように見えますね。誰かのアカウントを乗っ取られたようにも思えます。

もし誰かのアカウントで送られているなら、qmailのログにAuth情報とか出せれば対策できそうですが。PLESKは使ったことが無いので、PLESK経由で設定できるかは分かりません。

SMTPサーバはqmailなのでしょうか。
qmailだとデフォルトではAuth情報はログに出なかったような・・・

もう一度整理すると・・・

１）不正リレーの可能性がないかチェック
２）PHPで動作しているサービスのセキュリティホールをチェック
３）誰かのアカウントが使われていないかチェック

になると思います。

>パパトモ さん

SMTPサーバはqmailです。
また、http://www.rbl.jp/svcheck.phpをサーバのIPアドレスで再度確認してみました。
すべてrelay NOT accepted!!になっていました。

>３）誰かのアカウントが使われていないかチェック
これはどのようにチェックしたらよいでしょうか?

数ヶ月前に攻撃を受けたということですが、ひょっとしてPlesk絡みのものだったのでしょうか？
その時に何か仕込まれたものがあって、それも一緒に移行してしまった、という可能性はありそうな気も。
http://kb.parallels.com/jp/116241

メール送信経路の特定とは直接関係ないですが、ちょっと気になったもので。

誰かのアカウントが使われていないかチェックするには、SMTPのログでAuthログを取るようにしなければなりません。もしqmailを使われているなら、そのままではログは取れないと思います。改造が必要になります。

参考：
http://www.psychoscape.net/linux/2004/20040419.html

これまでの経緯から、誰かのアカウントが乗っ取られたか、もしくはアカウントを持っている方のPCがウィルスに汚染されているように思います。

>「mag2.php」と言うファイルが発見され、それがメールを大量に発送している事が確認できました。
とりあえずは、原因が分かって良かったですね。
コメントでのやり取りでmail.logを取るようにしましたが、このまま放置するとログが肥大化しますので、ローテートを行うなどをしてあげてください。

その昔、私もFTPで痛い目にあったことがあります。

FTPは一番乗っ取られ易いので、普段使わないならOFFにしておいた方が無難です。
使うときだけONが良いと思います。

とにかく原因が判明して良かったですね。