看起来像垃圾邮件发送者进入我的服务器。 我是LAMP新手,不知道如何find我的漏洞,不知道SMTP,脚本或其他地方。 我的服务器工作正常了一年多了,但现在已经被破坏了。
你知道如何保护我的服务器的任何好的手册(傻瓜或新手)?
就在今天(12小时),我收到了近3000封“失败”的电子邮件。 我的IP已经被禁止了
任何帮助表示赞赏
服务器很可能没有被攻破,但是你只是运行一个开放的中继。
作为第一步,请检查防火墙上的SMTP(TCP端口25)是否被阻止(假设您没有在该服务器上收到邮件,只发送邮件,如果您收到邮件,请确保您正在validation用户)
另外,请检查您发送电子邮件的任何Web表单 – 这些通常可能会被滥用以将邮件发送到任何地方,而不仅仅是您想要的地址。
首先,您需要知道他们是否实际上损害了您的服务器,或者只是欺骗您的邮件服务器的地址。 你看了日志吗? 您在数据库服务器,Web服务器,邮件服务器中看到不寻常的活动吗? 你看到不寻常的networking活动?
如果服务器已经被破坏,则需要将其脱机,并且可能必须从已知的备份中进行擦除和重新安装,并将更新应用于所有组件和框架。 你一直在这些最新的?
你有没有运行任何入侵检测软件? 就像Tripwire,把你的文件的MD5的,所以你可以告诉什么已经改变? 你有没有运行任何rootkit检测程序来了解某人能够进入或者可能被安装的东西?
如果你的服务器被攻破了,如果别人得到root权限,他们可以很容易地更换系统二进制文件,所以你不能相信任何东西。 甚至没有ls或ps或top,可能已经被rootkit所取代,以隐藏恶意软件进程。 你唯一可以做的就是将另一个已知的清理系统连接到networking,并查看来自服务器的exception活动。
如果入侵者没有覆盖他或她的踪迹,那么在日志文件中可以find一些活动的机会很大。 但是,如果这是妥协的话,你不能完全信任它们。 您只能通过configuration日志守护进程来将日志镜像到另一台服务器上,该服务器的唯一目的是从系统中聚合日志。
因此,请确定您的服务器是否确实受到了损害,如果您有任何指示,请将其脱机并通过从已知的良好备份重新安装来清除它。 如果你想尝试搞清楚发生了什么事,就制作一份驱动器的取证副本。