Как найти рассыльщика?

[Novichog]

Доброго времени суток. Проблема в следующем есть сервер VDS на нем несколько сайтов, установлена панель управления Vesta, ОС Ubuntu 16.14. В последнее время замечена странныя рассылка с сайтов (а может и нет).
Содержание такое:

(Нажмите, чтобы показать/скрыть)

1eszCx-00040Z-9G-D
--1520291271-eximdsn-328566082
Content-type: text/plain; charset=us-ascii

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

    ХХ@mail.ru
    host mxs.mail.ru [94.100.180.31]
    SMTP error from remote mail server after end of data:
    550 5.7.1 This message was not accepted due to domain (mail.ru) owner DMARC policy (RFC 7489) https://help.mail.ru/mail-help/postmaster/dmarc

--1520291271-eximdsn-328566082
Content-type: message/delivery-status

Reporting-MTA: dns; наш адрес сайта.ru

Action: failed
Final-Recipient: rfc822;ХХ@mail.ru
Status: 5.0.0
Remote-MTA: dns; mxs.mail.ru
Diagnostic-Code: smtp; 550 5.7.1 This message was not accepted due to domain (mail.ru) owner DMARC policy (RFC 7489) https://help.mail.ru/mail-help/postmaster/dmarc

--1520291271-eximdsn-328566082
Content-type: message/rfc822

Return-path: <ХХ@mail.ru>
Received: from ХХХХХХХ by наш адрес сайта.ru with local (Exim 4.86_2)
        (envelope-from <ХХ@mail.ru>)
        id 1eszCw-00040O-S6
        for ХХ@mail.ru; Tue, 06 Mar 2018 04:07:50 +0500
To: ХХ@mail.ru
Subject: =?utf-8?B?0J/QsNGA0LDQvNC10YLRgNGLINGD0YfQtdGC0L3QvtC5INC30LDQv9C40YE=?=  =?utf-8?B?0Lgg0LTQu9GPINCS0LDQvCDQt9Cw0YfQuNGB0LvQtdC90L46IDg4IDcwOQ==?=  =?utf-8?B?IN$
X-PHP-Originating-Script: 1010:phpmailer.php
Date: Tue, 6 Mar 2018 04:07:50 +0500
From: =?utf-8?B?0KHQtdGA0L7Qsi3Qv9C40YbRhtCwLiDQsy4g0KHQtdGA0L7Qsg==?= <ХХ@mail.ru>
Reply-To: =?utf-8?B?0KHQtdGA0L7Qsi3Qv9C40YbRhtCwLiDQsy4g0KHQtdGA0L7Qsg==?= <ХХ@mail.ru>
Final-Recipient: rfc822;ХХ@mail.ru
Status: 5.0.0
Remote-MTA: dns; mxs.mail.ru
Diagnostic-Code: smtp; 550 5.7.1 This message was not accepted due to domain (mail.ru) owner DMARC policy (RFC 7489) https://help.mail.ru/mail-help/postmaster/dmarc

--1520291271-eximdsn-328566082
Content-type: message/rfc822

Return-path: <ХХ@mail.ru>
Received: from ХХХХХХХХХ by наш адрес сайта.ru with local (Exim 4.86_2)
        (envelope-from <ХХ@mail.ru>)
        id 1eszCw-00040O-S6
        for ХХ@mail.ru; Tue, 06 Mar 2018 04:07:50 +0500
To: ХХ@mail.ru
Subject: =?utf-8?B?0J/QsNGA0LDQvNC10YLRgNGLINGD0YfQtdGC0L3QvtC5INC30LDQv9C40YE=?=  =?utf-8?B?0Lgg0LTQu9GPINCS0LDQvCDQt9Cw0YfQuNGB0LvQtdC90L46IDg4IDcwOQ==?=  =?utf-8?B?IN$
X-PHP-Originating-Script: 1010:phpmailer.php
Date: Tue, 6 Mar 2018 04:07:50 +0500
From: =?utf-8?B?0KHQtdGA0L7Qsi3Qv9C40YbRhtCwLiDQsy4g0KHQtdGA0L7Qsg==?= <ХХ@mail.ru>
Reply-To: =?utf-8?B?0KHQtdGA0L7Qsi3Qv9C40YbRhtCwLiDQsy4g0KHQtdGA0L7Qsg==?= <ХХ@mail.ru>
Message-ID: <2fcef84145ecd3af9fc3c751e0b3fab9@ХХХХХХХХХ.ru>
X-Priority: 3
X-Mailer: PHPMailer 5.2.1 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="utf-8"

Здравствуйте, уважаемый администратор,

Новый пользователь 'Вам зачислено: 88 709 руб.
Заберите следуя инструкции

Напишите нам по электронной почте matvej.kireev92@mail.ru
В теме укажите примечание - зачисление
.', логин 'diaseghaustig1981diaseghaustig1981', зарегистрировался на сайте http://ХХХХХХХХХ.ru/.

--1520291271-eximdsn-328566082--

Что это может быть и как с этим бороться. Сообщений не так уж много, но они напрягают.

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега spоiler или code, либо прикреплять к сообщению в виде отдельного файла.

-mahinist

[Dzhoser]

Это сообщение было создано автоматически с помощью программного обеспечения для доставки почты.Это сообщение не было принято из-за владельца домена (mail.ru) владельца политики DMARC (RFC 7489)

Сообщение, которое вы отправили, не может быть доставлено одному или нескольким его
получатели. Это постоянная ошибка. Не удалось выполнить следующие адреса:ХХ@mail.ru
Не обходимо обновить exim https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6789.html
Пользователь добавил сообщение 08 Марта 2018, 13:50:50:https://vps.ua/wiki/install-linux-vps/security/server-hacked/
Пользователь добавил сообщение 08 Марта 2018, 13:51:34:https://vps.ua/wiki/install-linux-vps/security/server-hacked/

[Novichog]

Спасибо за ответ. Я разобрался откуда эта рассылка позже подробно расскажу

[Dzhoser]

Ждемс

[Novichog]

Короче, фокус в следующем. Не хорошие люди использовали форму регистрации для рассылки, а именно ее функцию отправлять письмо пользователю. В логине писали текст типа: вам начислены деньги...... для получения напишите по адресу..... .В строке мыла писали чейто сторонний адрес, соответственно это письмо улетало ему с полной подставой нашего ресурса, так как в строке отправителя наш адрес. В принципе все понятно, но есть одно но, форм для регистрации на сайтах нет (плагин был запущен, теперь все отключено), значит эти не хорошие люди как то ломанули.

[Dzhoser]

Нужно логи анализировать...

[Novichog]

Нужно логи анализировать...

Извините за мою тупость  а именно какие?

[Dzhoser]

Все зависит на чем у Вас крутится сервер.
Вот небольшой пример просмотра логов http://a-m.net.ru/vzlom-sajtov-analizator-logov/201-skripty-dlya-analiza-logov-veb-servera.html

[Novichog]

Linux Ubuntu 16.04 в качестве панели Веста

[Dzhoser]

Тут самый наверное простой способ ограничить количество символов на логин и запретить пробелы.