伺服器受損 - 我如何找出發送郵件的內容
我的一個朋友有一些小型企業,並在專用主機上為他們託管基於 Wordpress 的網站。Wordpress 安裝被忽略了一段時間,主機最終受到了損害。現在每秒有 100 條垃圾郵件發出。我可以查看什麼來確定生成郵件的原因?
我可以讓垃圾郵件停止的唯一方法是關閉 Postfix。我們已經關閉了幾天以防止垃圾郵件,但這也意味著他無法從他的企業地址發送郵件。
如果我同時關閉 apache 和 postfix,netstat 會顯示除我的 SSH 登錄之外的任何遠端連接。如果我然後啟動 postfix(但讓 apache 停止),到埠 25 的 100 個遠端連接會立即打開。這使我相信主機上的某些程序正在執行此操作,而不是通過 Wordpress/我們在清理過程中遺漏的某些流氓腳本進入的。這裡也有 IRC 機器人,但我們已經刪除了這些,netstat 不再顯示任何與 IRC 的打開連接。
當我查看 ps axjf 時 - 所有 smtp 程序都會匯總到 /usr/libexec/postfix/master,它的父 id 為 1。這並不能真正讓我知道郵件是在哪裡生成的。
ps 和 top 都沒有顯示任何可疑程序(據我所知)。
我還能查看什麼來查看創建/發送郵件的內容?如果有幫助,我可以在執行和不執行後綴的情況下發布 pswhat_flags_you_want 的輸出。
謝謝。
感謝大家的回复。我們確實安裝並執行了 rkhunter,它沒有找到任何東西。
看起來我們確實在最初的清理中處理了這個問題,但是 postfix 試圖重新發送在主機被列入黑名單後被退回的消息。
/var/spool/postfix/deferred 中有 100 條數千條消息。我認為當我開始使用 postfix 時,它會將那些移回 ./active 並嘗試重新發送。我剛剛刪除了 ./deferred 和 ./active 中的所有內容,然後啟動了 postfix。似乎沒有創建或發送任何新消息。我在想這只是我不了解後綴是如何工作的。
我一直在跑
watch -d -n 1 ’ls -lhart /var/spool/postfix/active'
和
觀看’netstat –program –numeric-hosts –numeric-ports –extend | grep -E “:25|後綴|smtp”'
大約 30 分鐘,看不到外出活動。
您需要完全清除作業系統並重新安裝。很多事情都可以改變。