Постфикс логи "пишет" через syslog(). А тот - куда ему сказали в /etc/syslog.conf (или
что-там вместо syslogd используется).
В дебиане - mail.log. В RH - maillog.
Дак попробуйте. Если работает - попросите хостера
сделать PTR-запись для вашего IP (направить на hostname --fqdn).
Проверьте error.log апача.
Постфикс-то запущен? Проверьте:
service postfix status
И что в /var/log/maillog
?
Вообще никуда?
На gmail, например, пробовали?
Кстати, если останавливаете exim _не_ через панельку (а в консоли - service stop,
killall/kill, etc...) - будьте готовы, что она может перезапустить их.
На массовом виртуальном хостинге - такое достаточно частое явление, хотя
локализовать спамера (до виртуалхоста, конкретного пользователя etc) -
обычно достаточно просто. А если проекты свои - нужно ковырять до конца.
Одними переустановками это не решить, конечно. Уязвимые скрипты останутся.
Но DA выкинуть - поддерживаю. А если на сервере меньше десятка отдельных
проектов - выкинуть панельки типа DA как класс.
Конечно, у вас очередь спамом забита (даже если скрипт
прекратил уже рассылку). Нужно почистить почтовую очередь.
Смотрим почтовую очередь: exim -bpu
Очищаем ненужное, по списку msg-id: exim -Mrm id1 id2 ..
Совершенно верно, после чего возвращает TRUE, если поставить в очередь удалось. Т.е.
по статусу того, что оно возвращает - судить о работе почты рано ;)
Как правило, пользователь там - apache. Мало кто догадывается (помимо хостеров)
хоть выставлять sendmail_path уникальные для виртуалхостов апача, с отдельным
адресом в аргументе -f.
Так что логи веб-сервера... Или top, если _в данный момент_ - спамят через скрипт.
"так как с отключенным exim функция mail() в php работает."
_НЕ_ работает, вы хотели сказать? Ибо если работает (письма доходят) - что-то
Вы отключили определенно не то.
Так заголовки-то могут датироваться
старой датой. До отключния почтовика. Вы это проверили?
Либо есть другие уязвимости в скриптах - может вам веб-шелл закачали
и используют скрипт, напрямую соединяющийся с принимающим сервером.
Я вот могу телнетом спамить, без всяких mail().
Идти смотреть заголовки писем спама, логи апача за соответствующую дату
- в большинстве случаев "дырку", через которую рассылают - видно сразу.
include ?
а вообще, посмотрите как люди делают через map:
http://catap.ru/blog/2009/07/20/nginx-config-samples-typical-hosting/
[umka], особенно если зоны на dns-сервере уже давно нет ;)
Andreyka,remsys - кто мешает Вам рассказать про решения от R1Soft,
если Вы их используете? 🍿
А следить - кто-ж запретит - может и для себя что-то вдруг откроете.
