我是服务器的所有者,而且其中一个帐户存在垃圾邮件问题。
垃圾邮件发送者不断从(仅)其中一个域发送来自假的非现有地址的大量邮件。 [email protected],[email protected],还有一个[email protected]。
troubledomain.com是我的“麻烦”域名。
我谷歌了几天,尝试的东西,但服务器的IP仍然被垃圾邮件列入黑名单,我每天从DirectAdmin的电子邮件“警告:1电子邮件刚才(USER)发送”。
部分mail_queue:
ID Time Size Sender Frozen Recipient(s) Select 1Ye8vP-0008OH-0t 0m 2.1K <> yes [email protected] 1Ye8vP-0008OM-6H 0m 1.9K <> yes [email protected] 1Ye8va-0008Ob-UA 0m 746 <[email protected]> no [email protected] 部分Exim_Mainlog
2015-04-03 23:51:59 1Ye9VP-0004ur-QI <= <> R=1Ye9VO-0004tD-Jd U=mail P=local S=2120 T="Mail delivery failed: returning message to sender" from <> for [email protected] 2015-04-03 23:51:59 1Ye9VO-0004t2-8N Completed 2015-04-03 23:51:59 1Ye9VP-0004us-QI ** [email protected] F=<> R=virtual_aliases: 2015-04-03 23:51:59 1Ye9VP-0004us-QI Frozen (delivery error message) 2015-04-03 23:51:59 1Ye9VP-0004ur-QI ** [email protected] F=<> R=virtual_aliases: 2015-04-03 23:51:59 1Ye9VP-0004ur-QI Frozen (delivery error message)
它真的让我发疯。 我想,当我删除DirectAdmin上的整个帐户,并创build一个新的,改变了所有将被清理的密码,但它再次开始在同一个帐户。
我安装了Maldet并扫描了整个服务器(有时会发现一些东西并清理它,这是最后一个日志:
TOTAL FILES: 436208 TOTAL HITS: 2 TOTAL CLEANED: 1 CLEANED & RESTORED FILES: /maldetect-1.4.2/files/clean/gzbase64.inject.unclassed FILE HIT LIST: {HEX}gzbase64.inject.unclassed.15 : /maldetect-1.4.2/files/clean/gzbase64.inject.unclassed => /usr/local/maldetect/quarantine/gzbase64.inject.unclassed.19892 {CAV}Php.Malware.Mailbot-1 : /home/USER/domains/troubledomain.com/public_html/wp-content/uploads/2016/04/functions.php => /usr/local/maldetect/quarantine/functions.php.5294
真的不明白为什么它清理了2个命中中的1个,以及如何处理它们以及如何防止这种情况。 如果我明天再做一次search,它会在Wordpress文件夹中find另一个文件,即使它的清理垃圾邮件仍然会被发送。
再一次,我不是最好的pipe理员,但我愿意/乐于学习..
注意:如果您需要任何信息,请告诉我如何得到它,这样我的反应会更快
更新:
当另一个垃圾邮件会话正在进行时,我发现了这个:
[root@SERVERNAME virtual]# lsof -i | grep smtp exim 1503 mail 3u IPv6 3247 0t0 TCP *:smtp (LISTEN) exim 1503 mail 4u IPv4 3248 0t0 TCP *:smtp (LISTEN) exim 13999 mail 7u IPv4 39633 0t0 TCP SERVERNAME:40610->mta-v2.mail.vip.gq1.yahoo.com:smtp (ESTABLISHED) exim 14140 mail 9u IPv4 40073 0t0 TCP SERVERNAME:56045->mx2.free.fr:smtp (SYN_SENT)
有人可以分享一些想法如何阻止这个邪恶的东西?
更新#2
我做了一些更多的挖掘,发现它从我的本地机器(从eximstats mainlog)发送的所有垃圾邮件:
Top 50 rejected ips by message count ------------------------------------ Messages Rejected ip 1222 local
另外,当我检查更高的电子邮件使用情况:
Highest Value Count Percent Sender [email protected] 473 3 Authentication 0 0 Sending Host 0 0 Sending Script 0 0
当我检查其中一个垃圾邮件的标题是看到这个:
1YfY3p-0004GS-3R-H mail 8 12 <> 1428430637 0 -ident mail -received_protocol local -body_linecount 29 -max_received_linelength 150 -allow_unqualified_recipient -allow_unqualified_sender -frozen 1428430637 -localerror XX 1 [email protected]
另外这个消息:
邮件最常见的path是/,电子邮件地址为15564(7782%)。 如果path是系统path,则可能意味着电子邮件是通过smtp发送的,而不是使用脚本。
希望这给了更多关于问题的信息和build议如何解决这个让我疯狂的问题。
Directadmin内置了function来限制帐户出站电子邮件,通过执行以下操作:
如果您希望对一个或多个电子邮件地址进行自定义限制,请在以下path中创build限制,这将覆盖/ etc / virtual / user_limit文件。
echo 100> /etc/virtual/domain.com/limit/user
其中“用户”没有@ domain.com。 http://www.directadmin.com/features.php?id=1246
如果您想阻止用户完全发送邮件,可以在/ var / log / exim_mainlog中查找来自哪个IP地址,然后用防火墙阻止。 虽然如果这是一个你不想阻止的合法用户,也许教育和限制速度会更好。
要回答即使您更改了帐户密码,邮件如何被发送的问题,也可能来自网站文件中不需要进行身份validation即可发送邮件的脚本。 尝试find这种性质的任何有问题的脚本。