数日前、大量のリターンメールを受信し、Return-Pathを使った罠だと思ってたのですけど、メール送信で最大送信数を超えての送信不能という現象が起きていて、自分のサーバから大量にメール送信されてるのに気づきました。諸悪の根源はこのWordPressらしい。オリジナルを展開して核となるファイルを比較し、余計なファイルは削除しましたが、まだまだメール送信が止まらないので、ssmtpのパーミッションを変更して実行不能にして対処しました。
ssmtpを使おうとしてる犯人を特定しようとgetppid()を呼び出して親のプロセスIDをログするプログラムを書いてssmtpと置き換えてみたら、apacheだったり。これでは意味がなかった。ssmtpを呼び出してるCGI/phpスクリプトが分かれば何とかなりそうなのですけど、プログラムがexecされた状態からは何もわからないのでお手上げかも。
このままではメール送信できないのと気持ち悪いのでウィルススキャンソフトをインストールして探し出すことにします。
トリガーが何なのかわかればもう少し調べられるのですけどね。常駐物が悪さしてるというものでもなく、Apacheも何かに連動して動いてる訳で。落ち着いたらtripwireで定期的に改ざんチェックするしかないかも?