Talvolta può succedere che i nostri siti possano essere hackerati o infettati. I malintenzionati quindi usano del codice inserito nei vari file PHP per fare mailbombing e far partire quindi migliaia di email all’ora.
Per capire da quale account partono queste email è possibile “potenziare” i nostri log, e includere in questi molte notizie aggiuntive che ci aiuteranno ad identificare il sito e addirittura il file incriminato.
Vediamo come! Prima di tutto apriamo il file di configurazione di Exim digitando questo comando sul nostro sistema Ubuntu/Debian
pico /etc/exim4/exim4.conf.template
Ora aggiungiamo questo dopo le prime righe del file di configurazione
log_selector = +address_rewrite +all_parents +arguments +connection_reject +delay_delivery +delivery_size +dnslist_defer +incoming_interface +incoming_port +lost_incoming_connection +queue_run +received_sender +received_recipients +retry_defer +sender_on_delivery +size_reject +skip_delivery +smtp_confirmation +smtp_connection +smtp_protocol_error +smtp_syntax_error +subject +tls_cipher +tls_peerdn
Ora per visualizzare i log non ci resta che dare un occhio al file mainlog con il seguente comando
cat /var/log/exim4/mainlog
Se invece vogliamo vedere solo i log riguardanti quest’ultima modifica effettuata
tail -f /var/log/exim4/mainlog | grep cwd
Per vedere gli header delle email incriminate, ci basta invece eseguire quest’ultimo comando
exim -Mvh Message-id
