またまた問題が！！！

先日のスパム問題に続いて、

またまた問題が発生しました。

今回はサーバ会社から報告があり、

弊社お客様のサーバから大量のスパムメールが送られているとのこと。

# vi /var/log/maillog

でメールログを調べてみると、

確かに大量のメール送信されている履歴が残っていました。

さらにアクセスログを調べてみると、

いつ誰が作成したかも分からない特定のプログラムへのアクセス履歴が大量に残っていました。

コイツが怪しいのでは？と思い、

プログラムを確認すると、

もう使っていないであろうどこの業者が組んだのかも分からない、

フォームでした。

取り敢えず、

このプログラムを削除して対応は完了です。

要らないファイルは極力消すべきなのですが、

なぜか削除するのを嫌がる人間が世の中にはいるので、

困ったものです。

で、

あとは、

# mailq

でメールキューを確認すると、

var/spool/mqueue (xxx requests)
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
xxxxxxxxxxxxxxxreadqf: cannot open ./xxxxxxxxxxxxxxx: No such file or directory
-1 Tue Jun 30 02:10 <xxx@xxxxxx.com>
(Deferred: Connection timed out with xxx.on.ca.)
<xxx@xxxxxx.com>
xxxxxxxxxxxxxxx   1 Tue Jun 30 02:15 <xxx@xxxxxx.com>
(readqf: cannot open ./dftxxxxxxxxxxxxxxx: No such file or dire)
<xxx@xxxxxx.com>
<ms.carmanlapointe@unitednations.com>
t5THfnvG007491   1 Tue Jun 30 03:05 <xxx@xxxxxx.com>
(Deferred: Connection timed out with ftp.xxxxxxxxx.xxxxxxxxx-xxxxxx)
<xxx@xxxxxx.com
・
・
・
Total requests: xxx

というような感じでスパムらしきメールが大量に溜まっていたので

# mailq > queue.txt

でバックアップを取った後、

面倒なので、

# rm -f /var/spool/mqueue/*

で一括で削除です。

因みに、

特定のキューを削除した場合には、

# ls -al /var/spool/mqueue/

とすれば、

total xxxx
drwx------  2 root mail  28672 Jul  1 10:47 .
drwxr-xr-x 11 root root   4096 Dec  8  2010 ..
-rw-------  1 root smmsp  1041 Jun 30 02:07 dft5TH5wRa123456
-rw-------  1 root smmsp  1041 Jun 30 02:07 dft5TH5wRb123456
-rw-------  1 root smmsp  1041 Jun 30 02:09 dft5TH5wRc123456
・
・
-rw-------  1 root smmsp  1041 Jun 30 02:07 qft5TH5wRa123456
-rw-------  1 root smmsp  1041 Jun 30 02:07 qft5TH5wRb123456
-rw-------  1 root smmsp  1041 Jun 30 02:09 qft5TH5wRc123456
・
・
Total requests: xxxx

といった様にキューの一覧が見れます。

必ず、

「df」で始まるファイルと「qf」で始まるファイルがセットになっているようなので、

例えば「t5TH5wRa12345」のキューを削除する場合には、

# rm -f *t5TH5wRa12345

とすれば、

削除完了です！！