服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 服务器每隔5分钟发送一次垃圾邮件 – 无法find导致此问题的任务/ cron
Intereting Posts
Nginx上的SSL握手协议非常慢 Hadoop {start | stop} -all.sh脚本是否通常使用w / cloudera 3群集,如果是这样的话,如何? Apache2的LocationMatch允许login索引,但没有别的? 我可以使用Logic I / O卡和DataCore的SANmelodybuild立主备SAN吗? Ubuntu初始化脚本 在Windows 2008R2中添加ROUTE命令 不同的主体在实例configuration文件中 使用crontab删除由apache用户创build的tmp文件夹文件 Postfix转发“sendmail -bv root” Postfix将邮件转发到其他SMTP的特定域 木偶节点sorting 单个无线AP设备上的多个SSID之间的负载平衡有什么意义? dsn = 5.6.0,stat =转发电子邮件时数据格式错误 从vmdk / vmx文件部署VM 我如何备份和恢复我的Windows 2003防火墙设置?

服务器每隔5分钟发送一次垃圾邮件 – 无法find导致此问题的任务/ cron

我pipe理的一台Linux服务器每隔5分钟就发送一个来自特定用户帐户的数百个垃圾邮件。

我发现,在用户的帐户(运行Wordpress),几个PHP利用脚本。 其中之一是Meyhem滴pipe。

但是,在系统中,我找不到有任何迹象表明滴pipe已经损害了系统。 他们引用的文件不存在,没有运行“主机”进程,crontab中没有任何东西,80端口没有exception的监听或连接等。我经历了所有正在运行的进程,并没有看到任何exception(可能已经错过东西)。

但是,唯一的问题是系统每五分钟发出一大堆消息,使用相同的“from”用户名。 (上面提到的被盗用户的用户名)。

我可以监视/ var / log / maillog,每5分钟将这些消息放入队列。

我不知道如何判断哪个进程正在做这个。 我已经停止了httpd,crond,atd,并禁用了客户的网站,所以没有什么会击中恶意的PHP文件。 我也重命名了PHP文件。 但是,仍然每隔5分钟日志文件显示来自该用户的另一大堆消息被发送出去。

任何人都可以请指点我在正确的方向来find这个漏洞/恶意软件/等?

如果有办法看到所有新产生的进程,我可以看到垃圾邮件发出时哪一个产生。 有任何想法吗?

摘自maillog: 

Jan 28 18:12:13 xyz postfix/qmgr[6829]: C4BF3206075: from=<username@xyz.[domain name here].net>, size=1199, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: C0421227061: from=<username@xyz.[domain name here].net>, size=1222, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: C05082060C7: from=<username@xyz.[domain name here].net>, size=1180, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: BA6D922629A: from=<username@xyz.[domain name here].net>, size=1232, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC58A226B0F: from=<username@xyz.[domain name here].net>, size=1224, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: BB1C6227574: from=<username@xyz.[domain name here].net>, size=1216, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: B896B226EB3: from=<username@xyz.[domain name here].net>, size=1194, nrcpt=1 (queue active) Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC7532266B8: from=<username@xyz.[domain name here].net>, size=1186, nrcpt=1 (queue active)

在php.ini中findmail.log。 激活loggingPHP邮件。

mail.log = / var / log / phpmaillog

同时激活x-mail-headers

mail.add_x_header = 1

重新启动httpd以激活PHP更改。

开始监视这个日志。

tail -f / var / log / phpmaillog

删除这些PHP文件。 安装iThemes WordPress的插件。

如果您还有rootkit攻击,那么您将无法从受感染的计算机上看到进程,networking连接等。 这是因为您使用的可执行文件已被妥协并进行调整,以不显示其他受感染的工具和服务。

在这种情况下,您至less必须从一个可validation的独立操作系统启动(像SystemRescueCD这样的东西就是我的出发点)。 然后你可以validation所有的可执行文件安装校验和并重新安装任何可疑的。 理想情况下,你会撕下系统并重新安装。

我确信在https://security.stackexchange.com/上有许多有关从rootkit恢复的有用文章&#x3002;

也许TCPdump可以给你一个洞察力。 观看NIC卡发送stream量到该目标即

tcpdump -i eth0 -p smtp -Z root(或添加IP,而不是SMTP)