En entradas anteriores os había explicado cómo detectar un posible problema de inodos llenos en el servidor, además de explicaros cómo buscar la fuente del problema:

Pero hay ocasiones en las que aún así, no se logra encontrar la fuente del problema y se siguen generando largas colas de email sin conocer de dónde proviene.

En primer lugar, ejecutamos el siguiente comando para comprobar cuántos elementos tenemos en la cola de qmail:

al confirmar que hay muchos mensajes en la cola vamos a intentar averiguar de donde viene el spam. Para ello utilizamos la utilidad qmail-read que muestra los mensajes en cola, quien lo envía y los destinatarios.

Si un mensaje tiene muchos destinatarios que no son conocidos casi con seguridad que será spam. Elegimos unos cuantos mensajes que parezcan spam y vamos a consultarlos con mas detalle.

El mensaje que hemos localizado en el paso anterior tiene el numero 647441

Abrimos el fichero en sí:

Y en él podemos ver

Viendo el email from y el uid podemos detectar qué usuario de apache está ejecutando el script, es decir, desde qué directorio web se están enviando masivamente los emails.

Una vez tenemos esto claro, podemos utilizar una herramienta llamada Linux Malware Detect http://www.rfxn.com/projects/linux-malware-detect/ , desde allí podemos descargar la última versión http://www.rfxn.com/downloads/maldetect-current.tar.gz , su instalación es sencilla:

Una ves instalado, tan solo debemos ejecutarlo de la siguiente forma, si nuestro directorio a analizar es /home/dominio/ la sentencia sería la siguiente:

En función del número de ficheros que exista en su interior, tardará más o menos tiempo.

En cuanto haya finalizado la detección, podremos ver qué fichero es el que está causando el problema y eliminarlo.