Тема: Ловим скрипт который рассылает спам

Сильно помогает если все пользователи отделены, тогда точно ясно кто. Если нет то мою строчку надо дополнить strace и проанализировать переменные среды процесса, сравнить время начала с логами на сервере. Во общем не было еще случая чтобы я не нашел гадёныша...

watch -n 10 "date >> /root/spammer_20131111.txt ; lsof -Pnl +M -i|grep -F ':25 '|grep -v '^xinetd'|grep -v '^mini_send' >> /root/spammer_20131111.txt"

в результате получаем что то типа

salonas1 3957 2020 0u IPv4 3655844611 TCP 111.111.111.111:12325->219.239.227.113:25 (ESTABLISHED)
salonas1 3957 2020 1u IPv4 3655844611 TCP 111.111.111.111:12325->219.239.227.113:25 (ESTABLISHED)
salonas1 3957 2020 2u IPv4 3655844611 TCP 111.111.111.111:12325->219.239.227.113:25 (ESTABLISHED)

расшифровываю: пользователь salonas1 запустил программу с pid 3957 которая шлет пакеты с  111.111.111.111:12325 на 219.239.227.113:25

все конечно зависит от инфраструктуры, другой вареант через iptables

iptables -A OUTPUT -p tcp -m tcp --dport 25 -j LOG --log-uid 
Nov 19 22:09:58 myserver kernel: [19882788.591939] IN= OUT=venet0 SRC=111.111.111.111 DST=173.194.79.27 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54771 DF PROTO=TCP SPT=56275 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0 UID=10536 GID=2524 
Nov 19 22:10:00 myserver kernel: [19882790.591659] IN= OUT=venet0 SRC=111.111.111.111 DST=173.194.79.27 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54772 DF PROTO=TCP SPT=56275 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0 UID=10536 GID=2524 

наш спаммер "UID=10536 GID=2524"

2

Re: Ловим скрипт который рассылает спам

Как Вы его ласково , "Гаденыш" smile
Звучит !