Aiuto! Il mio server manda spam a più non posso

[uilli]

Mi trovo in una situazione assurda e chiedo l'aiuto di qualche esperto.
Ho un server dedicato che, da ieri, sta inviando spam a getto continuo. Avevo infatti notato, tramite Direct Admin, un carico abnorne sul server e un numero elevato di processi di exim non giustificati. Ho quindi contattato il supporto tecnico di chi mi fornisce il server (ho un servizio full-managed) il quale mi ha detto che il problema era dovuto al MySQL (che è pertanto stato riavviato) e ha chiuso il ticket che avevo aperto.
Siccome il carico sul server continuava ad essere eccessivo e exim continuava a creare nuovi processi, ho riaperto il ticket e il tecnico si è accorto che c'erano più di 10.000 email in coda. A questo punto, ha riavviato il server e mi ha detto che tutto era tornato a funzionare regolarmente. Il riavvio però ha fatto sì che la licenza di Direct Admin cessasse di funzionare (al momento, il server funziona con un forward da un IP ad un altro) e quindi non mi è più stato possibile verificare cosa stava accadendo.
Ho chiesto l'eliminazione dei messaggi in coda e ho chiesto di verificare (siccome non posso accedere tramite Direct Admin né tramite ssh, di cui non ho le chiavi) da dove partisse lo spam. La risposta è stata che era necessario attendere la cancellazione della coda (operazione molto lunga in quanto il server dispone di poca RAM ed è poco potente).
Oggi ho chiesto quale fosse la situazione e mi è stato detto che in coda c'erano oltre centomila email. Siccome Direct Admin continua a non funzionare, ho chiesto nuovamente di verificare quale script stesse generando tutte quelle email. Risposta:
"L'unica soluzione possibile e' l'intervento in loco di un nostro tecnico che effettui il trasferimento degli HD all'interno di una macchina piu' potente che sia in grado di effettuare l'analisi dei dati.
Questa attivita' e' soggetta al pagamento sia dell'intervento che dell'utilizzo di una macchina al suddetto scopo."
Qualcuno sa dirmi cosa devo fare? Se avessi accesso al server, potrei cercare di capire qual è il dominio da cui parte lo spam, bloccando uno alla volta i vari siti hostati. Ma non posso accedere né tramite pannello di controllo, né tramite SSH.
Aiuto!

[webhostingperte]

Se hai un servizi full managed non devi pagare assolutamente nessun intervento, è a carico loro scoprire la falla che ha permesso il mal funzionamento di exim e aggiornare il tutto, compreso directadmin, anche perchè non hai accesso ssh e quindi è difficile pensare che hai combinato tu qualcosa, o sbaglio?

[uilli]

Ti ringrazio per la risposta.

anche perchè non hai accesso ssh e quindi è difficile pensare che hai combinato tu qualcosa, o sbaglio?

Almeno su questo, non ho nessun dubbio. Non ho mai messo mano su questo server. Le uniche operazioni che effettuo sono quelle che mi consente Direct Admin.
Ritengo che ci sia uno script fallato che viene utilizzato per l'invio di spam, ma non so proprio come fare.
Tra l'altro, oggi non funziona neanche l'accesso Ftp e quindi non posso intervenire neanche manualmente per rimuovere gli script che potrebbero essere responsabili degli invii. Ma tanto, anche se potessi rimuoverli, cosa cambierebbe? Non ho la possibilità di verificare qual è la situazione a livello di carico server o coda email.
Non so più che fare!

[webhostingperte]

Ma l'assistenza la stai contattando? stanno verificando il problema?solo loro possono intervenire, spiegagli pure che hai un full managed magari se lo fossero scordato....
Tu non devi assolutamente mettere mano al server...

[uilli]

Sì, sto contattando l'assistenza.
Gli ho anche consigliato di oscurare i miei siti uno alla volta (operazione che effettuerei io se ne avessi la possibilità) per verificare quale dominio viene utilizzato per l'invio dello spam. La risposta è stata che, al momento, il numero di messaggi in coda non sta aumentando e che quindi non servirebbe a nulla fare ciò che ho consigliato. Non avendo accesso al pannello di amministrazione, non posso verificare se le cose stanno così o meno.
Non me la sento neanche di alzare la voce, visto che l'ultima volta che l'ho fatto hanno minacciato di rescindere il contratto!

[guest]

Guarda i log del server web.
Se inviano spam a go-go da una pagina in php (al 99% fanno così) dovresti vedere un gran numero di accessi verso quella pagina.

[webhostingperte]

Scusa come fa a vedere i log? non ha accesso ssh e nemmeno tramite pannello....

[uilli]

Guarda i log del server web.

Mi viene da piangere
Io non posso accedere al server (perché non ho le chiavi per ssh e non funziona Direct Admin) e quindi non posso leggere i log; loro (il supporto tecnico) non vagliano altre tipologie di intervento se non quello a pagamento di cui vi ho scritto.
Ora provo a prospettargli ciò che mi hai suggerito: grazie!

[guest]

Volendo dalle statistiche di DirectAdmin.
Comunque, sempre su DirectAdmin, mi pare ci sia la possibilità di vedere i log di apache (del giorno prima, se non erro).

E comunque sia, intendevo il provider....

[guest]

Mi viene da piangere
Io non posso accedere al server (perché non ho le chiavi per ssh e non funziona Direct Admin) e quindi non posso leggere i log; loro (il supporto tecnico) non vagliano altre tipologie di intervento se non quello a pagamento di cui vi ho scritto.
Ora provo a prospettargli ciò che mi hai suggerito: grazie!

Non avevo capito che non potevi accedere a DA

EDIT:
però dovresti riuscire ad accedere al programma delle statistiche... Prova a guardare li dentro se vedi molti accessi ad una pagina. Magari con una form che manda mail....

[webhostingperte]

In tutti i casi non dovrebbe spettare a lui questo controllo se non per semplice curiosità...
Guest conoscendoti son sicuro se un tuo cliente ti paga un full managed lo sistemeresti nel minor tempo possibile...

[guest]

Vero, però se loro han già proposto la soluzione....

[uilli]

Non funzionano neanche le statistiche. Mi sa che Webalizer è collegato a Direct Admin: se non funziona l'uno, non funziona neanche l'altro.

[webhostingperte]

Non esiste che se io mi affido completamente a un provider pagandogli un assistenza full, poi come soluzione di un problema mi tocca pagare ulteriormente l'intervento qualunque esso sia...

[guest]

Se il problema è generato da uno script, il provider può far poco.
Tu affidi la gestione della macchina al provider, se uno script del tuo sito è facilmente bucabile, il provider non è tenuto a darti assistenza. Il full-managed è assistenza sistimistica sul server, se ogni provider si mettesse a dare assistenza ai vari script installabili ed a fare bug-fixing saremmo fritti.

Per quanto riguarda webalizer: no, non è collegato, sono pagine statiche....
Ma i siti, si vedono?