我知道这是一个古老的问题,但我还没有find一个令人满意的答案,如何识别后缀上的垃圾邮件脚本。
我知道我必须查看postfix的邮件日志,获取消息ID并检查我已经完成的标题内容。 我似乎没有看到“X-PHP-Originating-Script”这一行来查找确切的脚本。 相反,我有X-mailer:Mailer v1.0。 有没有其他方法可以find从本地机器发送电子邮件的脚本?
以下是消息ID
*** MESSAGE CONTENTS deferred/1/17A30ED943C *** Received: from somedomain.com (localhost [127.0.0.1]) by mymail-server.com (Postfix) with ESMTP id 17A30ED943C for <[email protected]>; Mon, 18 Jul 2016 12:45:54 +0300 (EAT) Date: Mon, 18 Jul 2016 09:45:54 +0000 (UTC) From: jms <[email protected]> To: [email protected] Message-ID: <[email protected]> Subject: FW: Hi nolaspud MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_3510964_1152532126.1468835154806" X-mailer: Mailer v1.0 通过选项mail.add_x_header = On允许在php.ini文件中启用X-PHP-Originating-Script标头将会更快。
然后只需在mailq中检查新的电子邮件。
如果您的计算机遭到入侵,第一步是将其与networking断开连接。 那么你可以换一个新的安全的。
我知道这不是您所期望的答案,但是清理受感染的计算机可能会非常复杂。 你问这个问题的方式表明你在处理安全问题方面缺乏经验,最好的答案是用一个干净而安全的机器replace机器。
如果您想查看哪个进程正在发送电子邮件,请检查正在运行的进程,检查crontab并at 。 检查加载的模块,检查机器是否在混杂模式下有网卡。 使用netstat -anp | grep :25 netstat -anp | grep :25查看哪些进程正在连接到SMTP。 您可以使用Rootkit Hunter来search攻击痕迹。