- Home
- Categorie
- Coding e Sistemistica
- Hosting, Server e Domini
- Problema email che si autogenerano e occupano il 100% di spazio
-
Problema email che si autogenerano e occupano il 100% di spazio
Ciao a tutti, ho un grosso problema con il server e non sono riuscito a trovare una soluzione.
Praticamente si autogenerano delle email con destinatario vuoto che quindi non vengono nemmeno inviate e tendono a occupare il 100% dello spazio bloccando il server.
Credo che sia un malware o qualcosa di simile, ma non riesco a individuarlo nemmeno dai log. Queste email solitamente si creano in 1-2 giorni (fino quando lo spazio non si esauriesc) e per ora mi sto salvando avviando uno script .sh che le elimina dal server.
Se qualcuno sa come darmi uno mano ve ne sarei grato
-
Devi trovare il malware, c'è poco da fare. Visto nella lista dei processi attivi? Eventualmente fai una scansione con rkhunter.
Ma soprattutto, il sistema operativo qual'è?
-
Purtroppo non sono a quei livelli di conoscenza, non vorrei fare dei danni. Il SO è CentOS.
Saresti disposto a provare a sistemarmelo sotto retribuzione?
-
Oddio, la sicurezza informatica non è il mio campo. Il mio consiglio è di rivolgerti all'hoster, anche perchè se il tuo server è stato attaccatto potrebbe essere successo ad altri server presso lo stesso hoster.
-
Il mio hoster non dà assistenza per questo genere di problematiche. Diciamo che non dà proprio assistenza
-
Ho lanciato il controllo dei processi in esecuzione:
[root@ns359430 ~]# ps -ax |more Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ PID TTY STAT TIME COMMAND 1 ? Ss 4:46 init [3] 2 ? S 0:00 [kthreadd] 3 ? S 0:06 [migration/0] 4 ? S 0:51 [ksoftirqd/0] 5 ? S 0:06 [migration/1] 6 ? S 0:49 [ksoftirqd/1] 7 ? S 1:14 [events/0] 8 ? S 1:55 [events/1] 9 ? S 0:00 [cpuset] 10 ? S 0:00 [khelper] 13 ? S 0:00 [netns] 16 ? S 0:00 [async/mgr] 259 ? S 0:01 [sync_supers] 261 ? S 0:03 [bdi-default] 262 ? S 0:00 [kintegrityd/0] 263 ? S 0:00 [kintegrityd/1] 265 ? S 0:03 [kblockd/0] 266 ? S 0:03 [kblockd/1] 267 ? S 0:00 [kacpid] 268 ? S 0:00 [kacpi_notify] 269 ? S 0:00 [kacpi_hotplug] 362 ? S 0:00 [ata/0] 363 ? S 0:00 [ata/1] 364 ? S 0:00 [ata_aux] 371 ? S 0:00 [khubd] 374 ? S 0:00 [kseriod] 386 ? S< 0:00 [kslowd000] 387 ? S< 0:00 [kslowd001] 412 ? S 0:00 [rpciod/0] 413 ? S 0:00 [rpciod/1] 414 ? S 0:00 [kvm-irqfd-clean] 449 ? S 6:24 [kswapd0] 450 ? SN 0:00 [ksmd] 451 ? S 0:00 [aio/0] 452 ? S 0:00 [aio/1] 456 ? S 0:00 [nfsiod] 460 ? S 0:00 [xfs_mru_cache] 461 ? S 0:00 [xfslogd/0] 462 ? S 0:00 [xfslogd/1] 463 ? S 0:00 [xfsdatad/0] 464 ? S 0:00 [xfsdatad/1] 465 ? S 0:00 [xfsconvertd/0] 466 ? S 0:00 [xfsconvertd/1] 467 ? S 0:00 [ocfs2_wq] 468 ? S 0:00 [o2quot/0] 469 ? S 0:00 [o2quot/1] 471 ? S 0:00 [user_dlm] 474 ? S 0:00 [glock_workqueue] 475 ? S 0:00 [glock_workqueue] 476 ? S 0:00 [delete_workqueu] 477 ? S 0:00 [delete_workqueu] 478 ? S 0:00 [ceph-msgr/0] 479 ? S 0:00 [ceph-msgr/1] 480 ? S 0:00 [crypto/0] 481 ? S 0:00 [crypto/1] 1201 ? S 0:00 [iscsi_eh] 1210 ? S 0:00 [fc_exch_workque] 1211 ? S 0:00 [fc_rport_eq] 1212 ? S< 0:00 [fcoethread/0] 1213 ? S< 0:00 [fcoethread/1] 1225 ? S 0:00 [scsi_eh_0] 1228 ? S 0:00 [scsi_eh_1] 1246 ? S 0:00 [mtdblockd] 1306 ? S 0:00 [kpsmoused] 1326 ? S 0:00 [kstriped] 1328 ? S 0:00 [kdelayd/0] 1329 ? S 0:00 [kdelayd/1] 1330 ? S 0:00 [kmpathd/0] 1331 ? S 0:00 [kmpathd/1] 1332 ? S 0:00 [kmpath_handlerd] 1333 ? S 0:00 [ksnapd] 1336 ? S 0:00 [edac-poller] 1351 ? S 0:00 [kondemand/0] 1352 ? S 0:00 [kondemand/1] 1353 ? S 0:00 [kconservative/0] 1354 ? S 0:00 [kconservative/1] 1384 ? S 0:00 [usbhid_resumer] 1421 ? S 4:21 [md2_raid1] 1425 ? S 57:53 [md1_raid1] 1427 ? S 50:12 [kjournald] 1490 ? S<s 0:00 /sbin/udevd -d 2883 ? S 0:00 imap-login 3701 ? S 0:29 [kjournald] 3704 ? S 1:16 [flush-9:1] 3856 ? Ss 0:00 /usr/local/directadmin/directadmin d 3858 ? S 0:00 imap-login 3918 ? S 0:00 pop3-login 3976 ? S 0:00 pop3-login 4006 ? S 0:00 pop3-login 4018 ? Ss 6:39 syslogd -m 0 4021 ? Ss 0:00 klogd -x 4044 ? Ss 0:05 dbus-daemon --system 4067 ? Ss 0:41 dovecot 4078 ? S 0:28 dovecot-auth 4098 ? Ss 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 4169 ? S 0:00 imap-login 4172 ? S 0:00 imap-login 4174 ? S 0:00 imap-login 4175 ? S 0:00 imap-login 4177 ? S 0:00 imap-login 4178 ? S 0:00 imap-login 4197 ? Ss 0:26 /usr/local/directadmin/da-popb4smtp 4236 ? Ss 0:00 gpm -m /dev/input/mice -t exps2 4275 ? Ss 0:06 proftpd: (accepting connections) 4288 ? Ss 0:14 crond 4313 ? Ss 0:00 /usr/sbin/atd 4338 ? Ss 0:00 hald 4339 ? S 0:00 hald-runner 4380 ? S 0:00 /usr/sbin/smartd -q never 4383 tty1 Ss+ 0:00 /sbin/mingetty tty1 4384 tty2 Ss+ 0:00 /sbin/mingetty tty2 4385 tty3 Ss+ 0:00 /sbin/mingetty tty3 4386 tty4 Ss+ 0:00 /sbin/mingetty tty4 4387 tty5 Ss+ 0:00 /sbin/mingetty tty5 4388 tty6 Ss+ 0:00 /sbin/mingetty tty6 4405 ? SN 0:12 /usr/bin/python -tt /usr/sbin/yum-updatesd 4407 ? SN 1:02 /usr/libexec/gam_server 4746 ? Ssl 67:49 named -u named 5167 ? Ss 0:02 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid 5173 ? Ss 2:09 /usr/bin/spamd -d -c -m 5 5191 ? S 0:00 spamd child 5192 ? S 0:00 spamd child 7977 ? S 0:00 imap-login 7979 ? S 0:00 imap [[email protected] 93.48.103.108] 11553 ? S 0:00 imap-login 11800 ? S 0:00 imap [[email protected] 93.48.103.108] 11906 ? Ss 0:00 /usr/sbin/sshd 11931 ? S 0:00 imap-login 13288 ? S 0:00 pop3-login 13884 ? S 0:00 imap-login 15244 ? S 0:08 /usr/sbin/httpd -k start -DSSL 15245 ? S 0:08 /usr/sbin/httpd -k start -DSSL 15256 ? S 0:08 /usr/sbin/httpd -k start -DSSL 15622 ? S 0:06 /usr/sbin/httpd -k start -DSSL 15662 ? S 0:06 /usr/sbin/httpd -k start -DSSL 15678 ? S 0:04 /usr/sbin/httpd -k start -DSSL 15861 ? S 0:03 /usr/sbin/httpd -k start -DSSL 15879 ? S 0:04 /usr/sbin/httpd -k start -DSSL 15900 ? S 0:03 /usr/sbin/httpd -k start -DSSL 15901 ? S 0:03 /usr/sbin/httpd -k start -DSSL 15952 ? S 0:04 /usr/sbin/httpd -k start -DSSL 15979 ? S 0:04 /usr/sbin/httpd -k start -DSSL 16034 ? S 0:03 /usr/sbin/httpd -k start -DSSL 16118 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16138 ? S 0:03 /usr/sbin/httpd -k start -DSSL 16139 ? S 0:03 /usr/sbin/httpd -k start -DSSL 16143 ? R 0:03 /usr/sbin/httpd -k start -DSSL 16162 ? S 0:03 /usr/sbin/httpd -k start -DSSL 16163 ? R 0:02 /usr/sbin/httpd -k start -DSSL 16164 ? S 0:00 pop3-login 16175 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16189 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16219 ? Ss 0:00 sshd: root@pts/0 16251 ? S 0:00 pop3-login 16279 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16280 ? R 0:01 /usr/sbin/httpd -k start -DSSL 16297 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16308 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16314 ? S 0:02 /usr/sbin/httpd -k start -DSSL 16317 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16342 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16349 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16350 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16355 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16359 ? S 0:00 pop3-login 16364 pts/0 Ss 0:00 -bash 16404 ? S 0:01 /usr/sbin/httpd -k start -DSSL 16476 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16485 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16494 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16544 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16555 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16606 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16614 ? S 0:00 /usr/sbin/httpd -k start -DSSL 16618 pts/0 R+ 0:00 ps -ax 16619 pts/0 S+ 0:00 more 17290 ? Ss 0:00 /usr/sbin/exim -Mc 1SK0NQ-0004Up-TN 17448 ? S 0:00 imap-login 17725 ? R 28115:26 /usr/sbin/exim -Mc 1SK0NQ-0004Up-TN 20438 ? Ss 0:00 sshd: styleup [priv] 20445 ? S 0:04 sshd: styleup@notty 20446 ? Ss 0:00 sleep 36000 20487 ? S 0:00 imap-login 20934 ? Ss 0:10 /usr/sbin/httpd -k start -DSSL 21379 ? Ss 0:00 sleep 36000 23603 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/ns359430.ovh.net.pid 23629 ? Sl 773:01 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/ns359430.ovh.net.pid --skip-external-loc king 24142 ? S 0:00 pop3-login 24204 ? S 0:00 pop3-login 24531 ? S 0:00 pop3-login 24599 ? S 0:00 pop3-login 24688 ? S 0:00 imap-login 24779 ? S 0:00 imap-login 25223 ? S 0:00 pop3-login 25318 ? S 0:00 pop3-login 25323 ? S 0:00 pop3-login 25358 ? S 0:00 pop3-login 25376 ? S 0:00 pop3-login 26363 ? S 0:00 imap-login 27559 ? S 0:00 imap-login 29143 ? S 0:00 /usr/local/directadmin/directadmin d 29145 ? S 0:00 /usr/local/directadmin/directadmin d 29147 ? S 0:00 /usr/local/directadmin/directadmin d 29149 ? S 0:00 /usr/local/directadmin/directadmin d 29150 ? S 0:00 /usr/local/directadmin/directadmin d 31955 ? S 1:55 [flush-9:2]C'è qualcosa di anomalo?
-
Beh, un hoster che non dà assistenza non è molto affidabile.
Riguardo quei processi sembra tutto normale, ma in genere questi lavori vengono fatti da rootkit che sono invisibili.
Inoltre vedo un mucchio di processi pop3-login, perchè?
-
Il vero problema dell'hoster è che non offre nemmeno un pacchetto di assistenza a pagamento, in modo che si occupino di tutto loro.
Dunque avevo fatto fare un intervento a un sistemista per mettere apposto il server mail della macchina perché non inviava email (generate con PHP) per indirizzi che erano realmente su Aruba (uno dei domini è su aruba anche con il servizio email).
Infatti il problema arriva proprio da questo dominio che è quello usato come mittente delle email vuote che vengono a crearsi.
-
E' possibile che il server smtp sia aperto all'esterno e permetta l'invio di email a chiunque.
Dovresti leggerti la documentazione del server e verificare.
-
Forse a questo punto è meglio che metta un annuncio nella sezione collaborazioni
