最近3个月,我从我的托pipe服务提供商那里收到我的服务器发送的垃圾邮件的电子邮件,今天我对它进行了研究,发现它实际上在做。 我使用exim来检查情况,并用exim -bcp命令显示了28的输出,然后我使用了exim -bp并find了id,并使用了exim Mvh id 。 我testing了所有的ID,但是没有提供脚本的来源。 之后,我也试着检查exim/main.log但没有提供任何输出。
我已经使用防病毒扫描服务器,但没有发现任何东西。 另外我格式化服务器,但仍然没有好处。 请让我知道,如果你能帮助检测发送垃圾邮件的脚本。
运行exim -bP log_file_path以获取模板化的日志文件path; 用mainreplace%s ,并用它作为日志文件来查看。 (也是%D的date等)。 如果这真的指向你看到的main.log文件,那么使用lsof ,看看你有没有破坏日志文件的旋转或什么的。 如果文件是当前的日志文件,文件系统没有满,消息正在stream动,但是日志是空的,那么你的系统已经被破坏了。
看看消息来自哪里。 如果他们来自本地用户,那么该用户正在注入邮件; 如果这是一个networking托pipe用户,那么你需要弄清楚哪个PHP应用程序是过时的,并让垃圾邮件发送者滥用你。 商业滥用PHP应用程序已经发生了至less12年。 如果你有很多虚拟主机,并且无法识别源代码,你可以应用到你的networking服务器和PHPconfiguration来locking发送者地址。
如果消息来自远程IP地址,请确定您将自己变成了一个开放中继。
如果有一个经过validation的用户出现,那么他们的密码很弱:不允许用户为SMTPselect密码。 使用你生成的强密码,告诉用户他们被允许写下来。 考虑在速率限制示例中查看Exim wiki,限制滥用SMTP AUTH尝试的速度。
如果连接没有通过身份validation,并且只是远程开放中继,那么问题取决于您定制了多lessEximconfiguration文件(运行exim -bV来查找活动configuration文件的path)。 如果库存相当接近,那么你有一个名为relay_from_hosts主机relay_from_hosts ,你可能有太多的主机。 locking它。
以root身份,您可以使用ps aux来显示所有进程,并查找任何可疑内容。 您还可以使用find /path/to/cgi-bin -iname \*.php来查找攻击者引入的PHP脚本。
但是,根据攻击的具体情况,这两种情况可能都不会被看到。 如果您怀疑攻击者可以控制您的服务器,那么查找脚本是取证练习,而不是修复。 按照如何处理受损服务器的指示进行操作? 。
我有同样的问题。 这甚至导致我的IP被列入黑名单。
我的主机推荐我在WHM上添加pyxsoft反恶意软件插件。
它检测到wordpress中的受感染文件,当我删除这些文件时,垃圾邮件停止,但他们每天都不断回来。 所以我不得不每次删除它们。
然后我再次咨询了我的主机,他们build议使用CSX http://configserver.com/cp/cxs.html
我还没有尝试过,但我希望这将更好的方式照顾妥协的networking主机。
当你使用exim ,你可能正在运行一些Linux的发行版。 如果是这样的话,你可以使用iptables阻塞到端口25的传出连接。在你的情况下,你可能想要删除连接,以便他们将坚持一段时间。 使用netstat -antp | grep :25监视系统 netstat -antp | grep :25确定一个进程正试图发送一条消息。 然后,您可以检查该进程以查看其运行的位置。 您可以使用kill -STOP来防止进程运行,从而使您有更多时间来检查进程。
如果你这样做需要发送电子邮件,免除用户exim从iptables规则运行。 这将允许exim在阻止其他用户的同时发送邮件。
如果您的networking服务器正在运行,则可能是因为您包含发送电子邮件的脚本。 一些可用的脚本允许垃圾邮件发送者使用您的服务器发送电子邮件。 还有很多其他的方法可以从服务器发送邮件,而不会被病毒扫描器捕获。 在确定电子邮件的发送方式之前,使用iptables进行阻止可能是您最好的select。