我的一个较小的networking服务器似乎在发送垃圾邮件。 这是一个Ubuntu的8.04系统与Plesk作为configuration界面和qmail作为邮件服务器。
如何去确定垃圾邮件来源? 服务器本身是一个全新的安装,只要我从旧服务器(没有垃圾邮件)传输域,数据和数据库,就会“开始垃圾邮件”。 SMTP服务器肯定需要安全authentication(这不是一个开放的中继)。 我还使用rkhunter和chkrootkit检查了rootkit,而从另一台机器上只读取了服务器文件系统,发现没有。
我没有想法。 希望任何人有一些指针。
这肯定是被滥用? 首先,将其与Web断开连接,并确保日志安全。 垃圾邮件的来源是a)已经安装/入侵的本地进程(如你所说),b)或者是使用你的服务器的地方。 无论哪种情况,日志都会告诉你下一步要看的地方。 我可能会担心,因为这可能是楔子的薄弱的一端。
它看起来像一个或多个网页被感染/入侵。
你应该看看你的Apache日志。 你可以尝试一下,用clamav扫描web服务器的根目录(它有模式来findphp“邮件工具包”或其他讨厌的东西)。
你必须区分3种情况:
远程进程正在利用网站直接发送邮件。 寻找易受攻击的PHP代码(不一定,但很可能)。 networking服务器日志会告诉你。
本地帐户已被破解,本地进程正在发送垃圾邮件。
除了2,你的盒子已经扎根。
不要对现场系统进行取证,把机器从网上拿下来,看看日志。 当不是绝对地确定问题出在哪里时,假设3.(核对盒子,重新安装,审核networking代码,只允许密钥authentication)