人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

自分が利用しているサーバが迷惑メール発信源になっているのを止めたい!

某レンタルサーバを利用して複数のドメインを管理しています。
数日前からいきなり数時間に1万件を超えるMAILER DAEMONメールがサーバー管理アカウント用メールアドレスに届きだしました。
最初は私自身にいたずらメールが大量に届いているのかと思っていましたが、サーバ管理会社に確認すると、どうやら私のサーバから大量のスパムメールが発信されているようです。
これをどこから(または誰が)発信しようとしているのかを探すことはできませんか?
もしかしたらですけど、誰かがウイルスに感染しているとかの可能性もありますよね?

-文字数制限でヘッダー掲載できなかったので別途掲載します-

OSはCentOSでrootのPassはあります。
以上、まずはどこから手をつけたら良いでしょうか?

●質問者: master-3rd
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

質問者から

メールのヘッダー部分はこんな感じです。
-----------
Return-Path: <"○○○○@△△△△△.cp."レンタルサーバ会社のドメイン"">
Received: (qmail 7768 invoked by uid 48); 4 Dec 2013 21:36:27 +0900
Date: 4 Dec 2013 21:36:27 +0900
Message-ID: <□□□□.7763.qmail@△△△△△.cp.レンタルサーバ会社のドメイン">
To: ■■@terra.com.br←このドメインは私は管理していません
Subject: Agradecemos a sua coopera鈬o! 04/12/2013 09:36:27 1,685848E-02 04/12/2013 09:36:27
X-PHP-Originating-Script: 10008:mag2.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <■■@terra.com.br> ←このドメインは私は管理していません
-----------------------------------


1 ● パパトモ

どこから不正にアクセスされたものか見るには「Received: from」を見れば分かると思いますが、上のソースでは抜け落ちてますね。Received: fromにドメインが入ることもありますが、ドメイン偽装の可能性もあるので、ドメインは信用せずにIPアドレスを見るべきです。

たぶんSMTP-Authの設定をされていないのだと思います。SMTPに認証をつけないと、中継を許可しているのと同じで、不正な目的でサーバがよそから利用されます。SMTP-Authの他には、POP before SMTPなどがありますが、SMTP-Authの方がセキュリティは高いと思います。

何が原因なのかは、メール不正中継拒否テストサービスで行うと一目瞭然です。私がよくチェックに使うのは下記のサービスですが、これが信用できるかは自己責任でお願いします。

サイト:http://www.rbl.jp/
サービスのページ:http://www.rbl.jp/svcheck.php


パパトモさんのコメント
あ、X-PHP-Originating-Script←これ怪しいですね。 PHPで作成されたCMSやBBSなど使っていれば、そこのセキュリティホールを利用された可能性がありますね。

質問者から

みなさん回答ありがとうございます。
サーバ管理会社と連絡を取り色々と調べた結果、お客さんが管理しているサイトに「mag2.php」と言うファイルが発見され、それがメールを大量に発送している事が確認できました。
調べると、どうやらブラジルからアップロードされたそうです。
問題のファイルを削除し、FTPのPASSを変更する事でとりあえず現状は安定しているようです。
皆さんの回答・アドバイスありがとうございました!


関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ