先日のスパム問題に続いて、
またまた問題が発生しました。
今回はサーバ会社から報告があり、
弊社お客様のサーバから大量のスパムメールが送られているとのこと。
# vi /var/log/maillog
でメールログを調べてみると、
確かに大量のメール送信されている履歴が残っていました。
さらにアクセスログを調べてみると、
いつ誰が作成したかも分からない特定のプログラムへのアクセス履歴が大量に残っていました。
コイツが怪しいのでは?と思い、
プログラムを確認すると、
もう使っていないであろうどこの業者が組んだのかも分からない、
フォームでした。
取り敢えず、
このプログラムを削除して対応は完了です。
要らないファイルは極力消すべきなのですが、
なぜか削除するのを嫌がる人間が世の中にはいるので、
困ったものです。
で、
あとは、
# mailq
でメールキューを確認すると、
var/spool/mqueue (xxx requests)
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
xxxxxxxxxxxxxxxreadqf: cannot open ./xxxxxxxxxxxxxxx: No such file or directory
-1 Tue Jun 30 02:10 <xxx@xxxxxx.com>
(Deferred: Connection timed out with xxx.on.ca.)
<xxx@xxxxxx.com>
xxxxxxxxxxxxxxx 1 Tue Jun 30 02:15 <xxx@xxxxxx.com>
(readqf: cannot open ./dftxxxxxxxxxxxxxxx: No such file or dire)
<xxx@xxxxxx.com>
<ms.carmanlapointe@unitednations.com>
t5THfnvG007491 1 Tue Jun 30 03:05 <xxx@xxxxxx.com>
(Deferred: Connection timed out with ftp.xxxxxxxxx.xxxxxxxxx-xxxxxx)
<xxx@xxxxxx.com
・
・
・
Total requests: xxx
というような感じでスパムらしきメールが大量に溜まっていたので
# mailq > queue.txt
でバックアップを取った後、
面倒なので、
# rm -f /var/spool/mqueue/*
で一括で削除です。
因みに、
特定のキューを削除した場合には、
# ls -al /var/spool/mqueue/
とすれば、
total xxxx
drwx------ 2 root mail 28672 Jul 1 10:47 .
drwxr-xr-x 11 root root 4096 Dec 8 2010 ..
-rw------- 1 root smmsp 1041 Jun 30 02:07 dft5TH5wRa123456
-rw------- 1 root smmsp 1041 Jun 30 02:07 dft5TH5wRb123456
-rw------- 1 root smmsp 1041 Jun 30 02:09 dft5TH5wRc123456
・
・
-rw------- 1 root smmsp 1041 Jun 30 02:07 qft5TH5wRa123456
-rw------- 1 root smmsp 1041 Jun 30 02:07 qft5TH5wRb123456
-rw------- 1 root smmsp 1041 Jun 30 02:09 qft5TH5wRc123456
・
・
Total requests: xxxx
といった様にキューの一覧が見れます。
必ず、
「df」で始まるファイルと「qf」で始まるファイルがセットになっているようなので、
例えば「t5TH5wRa12345」のキューを削除する場合には、
# rm -f *t5TH5wRa12345
とすれば、
削除完了です!!
