Descubriendo quien envia mails por php

marzu · #1 (**permalink**) 03/03/2011, 16:04

Que tal Foro.

Ultimamente mi servidor ha tenido carga, y sobre todo esto:

29980 mailnull 18 0 11068 4380 3380 D 0.0 0.2 0:00.01 exim
30041 mailnull 15 0 10572 3144 2544 D 0.0 0.2 0:00.00 exim
30051 mailnull 17 0 10408 2008 1608 D 0.0 0.1 0:00.00 exim
30055 mailnull 18 0 10408 1948 1552 D 0.0 0.1 0:00.00 exim
30058 mailnull 18 0 10412 2436 1960 D 0.0 0.1 0:00.00 exim

he ejecutado lo siguiente, que publicaron en un foro para ver los procesos de cada usuario.

# ps hax -o user | sort | uniq -c
# psu(){ command ps -Hcl -F S f -u ${1:-$USER}; }
# psu mailnull

y me apare esto

F S UID PID PPID CLS PRI ADDR SZ WCHAN RSS PSR STIME TTY TIME CMD
5 D mailnull 16101 16086 TS 24 - 2799 sync_p 1920 3 15:42 ? 0:00 /usr/sbin/exim -Mc 1PvGHv-00048C-0n
4 D mailnull 16085 13638 TS 21 - 2603 log_wa 2024 2 15:42 ? 0:00 /usr/sbin/sendmail -t -i
4 S mailnull 16084 1 TS 24 - 2765 wait 4388 2 15:42 ? 0:00 /usr/sbin/exim -Mc 1PvGHx-0004AZ-Mn
4 D mailnull 16102 16084 TS 24 - 2602 sync_b 2548 1 15:42 ? 0:00 \_ /usr/sbin/exim -t -oem -oi -f <> -E1PvGHx-0004AZ-Mn
5 S mailnull 5543 1 TS 24 - 2601 - 1096 0 15:12 ? 0:25 /usr/sbin/exim -bd -q60m
1 S mailnull 2085 5543 TS 24 - 2803 - 3728 2 15:32 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 10963 5543 TS 20 - 2637 - 2344 3 15:39 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 14993 5543 TS 24 - 2638 - 2336 3 15:41 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 15330 5543 TS 23 - 2829 - 4688 3 15:41 ? 0:00 \_ /usr/sbin/exim -bd -q60m
4 Z mailnull 15632 15330 TS 21 - 0 exit 0 0 15:42 ? 0:00 | \_ [exim] <defunct>
1 S mailnull 15678 5543 TS 24 - 2802 - 3816 3 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 15749 5543 TS 21 - 2802 - 3800 2 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 15824 5543 TS 24 - 2642 - 3228 2 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 15981 5543 TS 24 - 2805 - 4668 1 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 D mailnull 16015 5543 TS 24 - 2645 sync_p 2140 3 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 16052 5543 TS 24 - 2611 fcntl_ 1552 3 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m
1 S mailnull 16057 5543 TS 24 - 2609 - 1376 3 15:42 ? 0:00 \_ /usr/sbin/exim -bd -q60m

La pregunta es, en /usr/sbin/sendmail (Segunda Linea)
El sendmail se esta ejecutando.
Esto quiere decir que hay alguien que esta enviando correos de algun php forms ?
Habra otra forma de ver el proceso mas afondo para decubrir quien lo ha ejecutado. Mi servidor es de hosting, tengo hospedado muchos sitios.

Saludos

networktools · #2 (**permalink**) 10/03/2011, 07:41

Mirando directamente el log , puedes ver quien envía y si lo hacen desde un formulario , posiblemente veas que el user es apache.
Saludos.