垃圾邮件发送脚本注入

如果你知道垃圾邮件来自的邮件帐户，你一定要改变密码。 你怎么知道垃圾邮件是通过一些脚本发送的？

如果它是通过一些易受攻击的（PHP？ – ）脚本发送的，为了找出它来自哪里，你应该创build一个sendmail包装器，因为脚本通常使用sendmail二进制文件来发送邮件。

用这个内容创build一个文件/usr/sbin/sendmail-wrapper ：

 #!/bin/sh TODAY=`date -Iseconds` echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send (echo X-Additional-Header: $(dirname $PWD);cat) | /usr/sbin/sendmail-real "$@" 

为了让你的包装活动，移动真正的sendmail二进制文件：

mv /usr/sbin/sendmail /usr/sbin/sendmail-real

并移动包装器：

mv /usr/sbin/sendmail-wrapper /usr/sbin/sendmail

每次sendmail被调用时，它都会为邮件添加一个额外的头，并将sendmail被调用的pathlogging到/tmp/mail.send 。 这样，你应该能够find有问题的脚本。

请务必将原始的sendmail二进制文件重新放回原处， /tmp/mail.send无限增长。

也许一个PHP脚本被利用如果您正在运行PHP 5.3.x或以上设置：

 mail.add_x_header=1 mail.log=/var/log/phpmail 

在php.ini中。
还要确保/ var / log / phpmail是世界可写的，所以每个php进程都可以编写它。
然后重新启动Apache。

在检查外发邮件的标题后，应该包含php脚本的名称（X-PHP-Originating-Script）

你可以禁用用户clubmaga？ 你为什么不能改变clubmaga的密码？ 你有没有试图杀死或杀死你的疑似恶病症？ 清除邮件队列假设你可以？ 你的系统是最新的？

直到你知道你是如何被破坏的，你仍然受到损害 – 就你所知，坏人仍然在机器上，即使没有，你也不愿意/能够改变密码，你的机器仍然是完全可用的。

除非你真的知道你在做什么，否则你应该清理安装或恢复一个你知道干净的备份。 其他任何事情都可能没有什么积极的影响，因为你仍然以已经工作的方式妥协或至less可以包容。