sendmailが踏み台にされているようです

お世話になります。
大変困っており何か解決方法がありましたらご教授いただけますと幸いです。

サーバーのsendmailを悪用されて大量の宛先にメールを配信されてしまっているようで
現在、sendmailを停止させております。

サーバー会社が言うには
設置しているwebスクリプトか何かが利用されているのは間違いないと言うのですが、
可能性のあるものをすべて利用できなくしても一向におさまらない状況です。


メールキューを見ると、短時間で何度も送信されている状況です。

送信元　Pizza Hut" support@hogehoge.com
（hogehoge.comは当方のWEBサイトドメインで毎回support@をつけています。存在しないアドレス）

送信先　複数のメールアドレスに送信


本文

Pizza Hut

MAKE IT GREAT

Free personal Pan Pizza

Today we are celebrating our 55th anniversary and we want you to share this celebration
with us - you may get a free pizza in any of our restaurants.

Get Free Pizza Coupon
The offer is valid through November 5th, 2014.

Copyright (c) 2014 | All right reserved | Pizza Hut


なぜか本文はピザハットの事が書かれており、全部同じで
これをうちのサーバーのsendmailを勝手に利用し不特定多数に送信している状況です。

殆どが上記のメールで、たまに他の内容や送信元であったりする場合もあります。


利用されそうなＷＥＢコンテンツは以下になります。


・wordpressのプラグインメールフォーム（プラグインで停止）

・その他のメールフォーム（スクリプト上で動かないようにする）


上記状態にしたのですが、sendmailを利用するスクリプトを停めても
一向に収まらず困っております。

サーバー会社側に伝えましたが、
心当たりのあるスクリプト等をとめてもらうしかないと言われてしまいます。

wordpress本体もそのような事をされてしまう可能性があるのでしょうか？

WordPress のPingbackは停止しています。

何か踏み台にされている対象をつきとめる方法や対策などございませんでしょうか。

sendmailを使う事ができなくなり困っております。
※どうしてもsendmailの利用が必要なものがあるため

お忙しい中お手数をおかけしますがご教授いただけますと大変助かります。

当方、サーバーは無知ですので情報が少なく申し訳ありません。

No.2 ベストアンサー 回答者： t_ohta 回答日時： 2014/10/29 14:26

＞　状況からしましてwordpressが原因のようなのですが、

＞　sendmailを使うメールフォームのContact Form 7をプラグイン上で停止してみました
＞　変わらずの状態です。

プラグインはフォームから貴方宛にメールを送るためのモノなので直接は関係ないかもしれませんね。

下記URLのような記事もあるので、Wordpressそのものに不正プログラムを仕込まれている可能性があるかもしれませんね。

http://dhmo.wktk.so/wordpress/wordpress%E3%81%8C …

この回答へのお礼

ありがとうございました。
プラグインの中に不正なプログラムを仕込まれていたようです。
バックドアのチェックスクリプトで調査した結果、場所が判明しました。
プラグインを削除する事でスパムがストップしました。

お礼日時：2014/10/31 10:25

No.1 回答者： t_ohta 回答日時： 2014/10/29 13:00

sendmailのログを調べるしかないでしょうね。

本当にサーバ内に何らかのプログラムが仕込まれて送信しているのであれば、送信が行われているときのプロセスを調べて一つずつ潰していくしかありません。
ログにもある程度情報は残っている可能性があるので、怪しい箇所を一つずつ調べるしかないでしょう。
外部からSMTPの中継で使用されている可能性はありませんか？
中継に使われているのであれば、sendmailの設定を見直して不正中継に使用されないようにしましょう。

この回答への補足

お忙しい中ご回答ありがとうございます。

wordpressを一旦アクセスできない状態にしてみましたら
メールキューにたまらなくなりました。
再開しますとメールキューにたまるようになります。

状況からしましてwordpressが原因のようなのですが、

sendmailを使うメールフォームのContact Form 7をプラグイン上で停止してみましたが、
変わらずの状態です。
プラグイン上で停止しても駄目なのでしょうか？
それとも他に踏み台にされるような仕組みがwordpressにはあるのでしょうか。

wordpress関連なので他で質問した方が良さそうでしょうか。

ネットで色々調べてはいるのですが有効な情報がなかなかありません。
もし何かわかるようでしたらご教授いただけますと幸いです。

補足日時：2014/10/29 13:59