Как уже говорилось, скорее всего идет рассылка через уязвимость в каком-то скрипте. Либо через специально залитый на сервере вредоносный скрипт - он может быть элементарно простым, антивирус его не заметит.
Обычно в ISPmanager нет средств чтобы зафиксировать, какой именно скрипт отправляет письма. Хотя в природе и существуют патчи к php, которые дописываю соответствующие заголовки в каждое отправленное сообщение.
Остается только одно - смотреть текущие статусы сервера и логи, дабы засекти какой скрипт отправляет письма.
Вам помогут
tail -f /var/log/maillog
top
service httpd fullstatus (или lynx -dump http://127.0.0.1/server-status)
и просмотр логов апача.
В логах апача обращайте внимание на запросы типа POST, скорее всего рассылки идет именно через них.
Да ты такой крутой, что от тебя аммиаком разит...
К ТЕБЕ НИКТО НЕ ЛЕЗЕТ. Это ты лезешь.
Если ты не хочешь помочь человеку конкретным советом, то свали на отсюда на фиг.
Твоя самореклама здесь никому не нужна. Специально для таких как ты недавно отдельный раздел сделали, вот и пасись там.
Аналогия, абсолютно неуместна.
Атак не станет больше, если много людей будут разбираться в методах защиты от ДДОСа.
Плюс вирусы, использующие браузеры для обращения к сайту, более заметны в системе. Следовательно, пользователи будут скорее их удалять и время жизни ботнета будет сокращаться.
Ты заинтересован в сокрытии информации о ддосе. Ты от этого больше денег заработаешь. А сообществу что с того? От умалчивания никому лучше не станет. Борьба с ДОСом - это не привилегия избранных. Каждый админ должен это уметь. Собственно и умеет в большей или меньшей степени.
Но тебе ведь не это нужно. Твои интересы полностью расходятся с интересами посетителей этого форума и данного топика в частности. Тебе нужно себя порекламировать, а не топекстартеру помочь в его вопросе.
Так что будь любезан, свали в раздел "Услуги и предложения" и не флуди в этот топик.
Дарагой, если ты продаешь услуги, и кто-то тебе мешает, выкладывая информацию "в паблик", то иди-ка ты в пелотку...
Твоя логика и мораль оправдает небось и организацию доса, чтобы тебе хорошему и самолюбимому работа нашлась.
Хорошо, что нет - возможно заражение вашего сервера в полной степени не удалось. Тем не менее, злоумышленники сумели выполнить команду crontab.
Попробуй посмотреть дату, когда был изменен крон-файл в /var/spool/cron для пользователя apache поискать в логе апача каким именно образом это было сделано.
Это вирус/троян прописал себя в крон от имени вебсервера.
Удаляйте упомнятый файл и ищите дырку в php-скрипах.
Перед удалением посмотрите дату-время создания файла и попробуте найти в логе апача какой запрос привел к го появлению.
И само собой удалите запись из крона -
crontab -e -u apache
Это часом не реселерство от Хетзнера? Какие условия Unlimited трафика? Как с присутствием локальных админов в датацентре по ночам и в выходные?
В my.cnf можно прописать
bind-address = 1.2.3.4
Тогда он будет ожидать соединения ТОЛЬКО к этому ip.
Если же НЕ прописывать подобную директиву, то mysqld по умолчанию ожидает соединения на ВСЕХ интерфейсах системы, включая и 127.0.0.1
SetEnvIf Request_URI \.gif image-request
SetEnvIf Request_URI \.jpg image-request
SetEnvIf Request_URI \.png image-request
CustomLog logs/access_log common env=!image-reques
Также можно прописать SetEnv image-request в файлах .htaccess внутри папок, где не нужно вести лог обращений
Среди open source спамассассин, можно сказать, тривиальное решение. Но при этом весьма эффективное даже по дефолту. А если ему уделять внимание, то эффективность можно повышать до бесконечности.
Лично я использую spamassassin что называется "из коробки" с минимальными настройками. В сочетании в rbl'ами spamcop и spamhouse и spf результат меня вполне удовлетворяет - на глаз отлавливается около 95% спама, особенно англоязычного.
Ошибочные срабатывания весьма редки.
Мой пост наверное неконкретен, сори... Но лично я спаму просто не уделяю много внимания - оно себе работает и есть особо не просит ;)
