[risolto]invio spam malevolo da mio server

[gferrari77]

ho ricevuto una comunicazione da il mio gestore di un server dedicato.
ci sono 1000 esempi di invio mail malevolo.
Destination IP: ########## - Message-ID: - Spam score: 250

ora il server ha 10 siti.
domanda n*1:
come faccio dai log a capire quale sito ha inviato lo spam
domanda n*2
come faccio dai log a sapere se c'è stato un accesso ftp?

penso sia uno script nascosto sul mio sito richiamato n volte da remoto con una get, quando viene richiamato invia una mail.
è plausibile?
se no cosa potrebbe essere e cosa devo cercare nei log affinchè non si ripeta?
Grazie

[DoctorStrange]

Molto intrigante la tua domanda. Probabilmente una delle tue applicazioni è stata attaccata da un malware, ed ora potrebbe essere parte di una botnet, che usa server ed applicazione per inoltrare mail fraudolente. Se non hai un backup recente da ripristinare, non credo tu abbia altre alternative se non sottoporre il tuo server ad un'anallisi. Comincerei con nmap e traceroute per vedere se riesci a capire da quale processo nello specifico, partano queste email.
Prova a killaree in sequenza tutti i processi che abbiano delle porte esterne aperte dal firewall e vedi quando le email si interrompono. Rimane comunque l'idea che resettare l'intera istanza e caricare l'ultimo backup della tua applicazione potrebbe risolverti tutti i problemi.

[gferrari77]

Molto intrigante la tua domanda. Probabilmente una delle tue applicazioni è stata attaccata da un malware, ed ora potrebbe essere parte di una botnet, che usa server ed applicazione per inoltrare mail fraudolente. Se non hai un backup recente da ripristinare, non credo tu abbia altre alternative se non sottoporre il tuo server ad un'anallisi. Comincerei con nmap e traceroute per vedere se riesci a capire da quale processo nello specifico, partano queste email.
Prova a killaree in sequenza tutti i processi che abbiano delle porte esterne aperte dal firewall e vedi quando le email si interrompono. Rimane comunque l'idea che resettare l'intera istanza e caricare l'ultimo backup della tua applicazione potrebbe risolverti tutti i problemi.

Dopo un periodo di silenzio in cui credevo di aver risolto è tornato il problema.il mio errore ho scoperto, è stato quello di non proteggere la mail con fail2ban.probabilmente,penso io,qualcuno è entrato .
Adesso se riuscite ho bisogno di una mano concreta non sono un sistemista linux.da dove parto? E cosa devo studiarmi per mettere fine a queste email di spam?.io ho seguito il tuo discorso DocrorStrange . so cos'è un processo e tempo fa in c++ ho realizzato un demone per una schedulazione di alcune cartelle è forse una cosa simile.All inizio mi ricordo che lo feci partire e tutto funzionava solo che non sapevo più come fermarlo e ho killato il processo.tutto ok dopo.ho letto su Google che questo demoni sono chiamati zombie è corretto?. Ecco come faccio a trovare tutti gli zombie nei processi e killarli? Io nel mio conoscevo il pid dal nome ma sul mio server come faccio? Mi puoi aiutare? Ci sono magari antimalware che li trovano?grazie

[Stealth]

Il mio consiglio è di formattare e reinstallare il sistema e i servizi da zero, per poi proteggerli meglio. Non conosco altri modi di trattare un server bucato

[gferrari77]

grazie