Resulta que uno de mis servidores estaba generando un volumen muy elevado de correo electrónico que se acumulaba en la cola de postfix. Al revisarlo, me doy cuenta que de que todos los mensajes provienen de uno de los dominios alojados, se trata de un servidor compartido.

Necesitaba localizar el script que originaba estos envíos, con lo que seguí estos pasos:

  • Acceder al servidor por SSH con usuario root
  • Revisar la cola de correo con el comando mailq
  • Copiar el ID de alguno de estos mensajes que aparece en la primera columna del listado (p.e.: 283303A8F221)
  • Mostrar los detalles del mensaje con el comando postcat -q <ID> utilizando el identificador copiado anteriormente:
    postcat -q 283303A8F221
  • Localizar una línea que empieza por “X-PHP-Originating-script”, la cual muestra el archivo que está ejecutando el script, por ejemplo:
    X-PHP-Originating-Script: 10002:gallery.php
  • Editar el archivo para visualizar el script. En este punto recomiendo copiar un fragmento de código y buscarlo en el resto de archivos del site por si algún otro ha sido infectado. Al mismo tiempo, actualizar la aplicación con los últimos parches de seguridad
  • Borrar la cola de correo mediante el comando postsuper -d ALL
  • Volver a revisar la cola de correo con el comando mailq

Dependiendo del alcance de la infección, es un trabajo algo laborioso, pero no queda más remedio.

Espero que os sirva de ayuda.

Un saludo.