某レンタルサーバを利用して複数のドメインを管理しています。
数日前からいきなり数時間に1万件を超えるMAILER DAEMONメールがサーバー管理アカウント用メールアドレスに届きだしました。
最初は私自身にいたずらメールが大量に届いているのかと思っていましたが、サーバ管理会社に確認すると、どうやら私のサーバから大量のスパムメールが発信されているようです。
これをどこから(または誰が)発信しようとしているのかを探すことはできませんか?
もしかしたらですけど、誰かがウイルスに感染しているとかの可能性もありますよね?
-文字数制限でヘッダー掲載できなかったので別途掲載します-
OSはCentOSでrootのPassはあります。
以上、まずはどこから手をつけたら良いでしょうか?
メールのヘッダー部分はこんな感じです。
-----------
Return-Path: <"○○○○@△△△△△.cp."レンタルサーバ会社のドメイン"">
Received: (qmail 7768 invoked by uid 48); 4 Dec 2013 21:36:27 +0900
Date: 4 Dec 2013 21:36:27 +0900
Message-ID: <□□□□.7763.qmail@△△△△△.cp.レンタルサーバ会社のドメイン">
To: ■■@terra.com.br←このドメインは私は管理していません
Subject: Agradecemos a sua coopera鈬o! 04/12/2013 09:36:27 1,685848E-02 04/12/2013 09:36:27
X-PHP-Originating-Script: 10008:mag2.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <■■@terra.com.br> ←このドメインは私は管理していません
-----------------------------------
どこから不正にアクセスされたものか見るには「Received: from」を見れば分かると思いますが、上のソースでは抜け落ちてますね。Received: fromにドメインが入ることもありますが、ドメイン偽装の可能性もあるので、ドメインは信用せずにIPアドレスを見るべきです。
たぶんSMTP-Authの設定をされていないのだと思います。SMTPに認証をつけないと、中継を許可しているのと同じで、不正な目的でサーバがよそから利用されます。SMTP-Authの他には、POP before SMTPなどがありますが、SMTP-Authの方がセキュリティは高いと思います。
何が原因なのかは、メール不正中継拒否テストサービスで行うと一目瞭然です。私がよくチェックに使うのは下記のサービスですが、これが信用できるかは自己責任でお願いします。
サイト:http://www.rbl.jp/
サービスのページ:http://www.rbl.jp/svcheck.php
みなさん回答ありがとうございます。
サーバ管理会社と連絡を取り色々と調べた結果、お客さんが管理しているサイトに「mag2.php」と言うファイルが発見され、それがメールを大量に発送している事が確認できました。
調べると、どうやらブラジルからアップロードされたそうです。
問題のファイルを削除し、FTPのPASSを変更する事でとりあえず現状は安定しているようです。
皆さんの回答・アドバイスありがとうございました!
あ、X-PHP-Originating-Script←これ怪しいですね。
2013/12/05 17:44:33PHPで作成されたCMSやBBSなど使っていれば、そこのセキュリティホールを利用された可能性がありますね。