Exim识别垃圾邮件脚本位置

时间:2014-08-09 10:43:06

标签: unix spam exim

我的unix服务器正在发送大量垃圾邮件。我正在调查此问题,但无法找到脚本位置。这是垃圾邮件标题之一。没有关于脚本位置的信息。

    1XG440-0003wz-8i-H
mail 8 12
<latisha_powers@silakalite.com>
1407580792 0
-helo_name silakalite.com
-host_address 127.0.0.1.44541
-host_name localhost.localdomain
-interface_address 127.0.0.1.25
-received_protocol esmtp
-body_linecount 5
-deliver_firsttime
XX
1
vilder_fax@ohtmail.com

245P Received: from localhost.localdomain ([127.0.0.1] helo=silakalite.com)
    by s1.codezing.com with esmtp (Exim 4.67)
    (envelope-from <latisha_powers@silakalite.com>)
    id 1XG440-0003wz-8i
    for vilder_fax@ohtmail.com; Sat, 09 Aug 2014 13:39:52 +0300
037  Date: Sat, 9 Aug 2014 10:39:50 +0000
055F From: "Latisha Powers" <latisha_powers@silakalite.com>
058R Reply-To:"Latisha Powers" <latisha_powers@silakalite.com>
046I Message-ID: <b8f7788-1c74b-7e@silakalite.com>
027T To: vilder_fax@ohtmail.com
028  Subject: Re:  heh malay car
023  X-Priority: 3 (Normal)
018  MIME-Version: 1.0
046  Content-Type: text/html; charset="iso-8859-1"
032  Content-Transfer-Encoding: 8bit

此外,您还可以找到exim主日志。

2014-08-09 12:29:15 1XG2xZ-0001cm-Sy == nepal_hero@yahoo.com R=lookuphost T=remo
te_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<maude_m
cmahon@silakalite.com> SIZE=1851: host mta6.am0.yahoodns.net [66.196.118.36]: 42
1 4.7.1 [TS03] All messages from 46.102.243.208 will be permanently deferred; Re
trying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html
2014-08-09 12:29:18 1XG2xi-0001dA-KT <= hillary_newton@silakalite.com U=apache P
=local S=794 T="Fw:  He he Ulia Suzana Homemade Lesbian" from <hillary_newton@si
lakalite.com> for nepalbabu54@yahoo.com

如何识别脚本位置?

1 个答案:

答案 0 :(得分:0)

您的网络托管面板使用Exim作为其邮件服务器。您的一个客户的网站具有不安全的反馈表单(它允许提交者指定收件人,可能是发件人和数据)。第一个线索来自:

  

2014-08-09 12:29:18 1XG2xi-0001dA-KT&lt; = hillary_newton@silakalite.com U = apache P   =局部

它说用户是apache。接下来要做的就是查看你的网络服务器日志,从12:29:18开始,然后看几秒钟前几秒钟,直到找到一个在反馈表单上执行GET或POST的网站(或一般不安全的形式)。

silakalite.com是您的客户吗? hillary_newton @是该域名的有效发件人吗?如果是,那么应该很容易找到造成这种情况的网站。如果不是,那么你只能通过时间戳来计算它。