我有一个运行Exim的Linux服务器。 有些用户正在发送垃圾邮件 我可以这样说,因为几乎每24小时,我都会在nobody账号中收到大量未送达的邮件。
我可以看到Exim队列如何快速增长,直到现在,我必须重新启动服务器才能停止洪水。
我已经尝试使用PS和顶部来识别生成垃圾邮件的帐户,但我想这是通过PHP脚本,它正在作为没人跑。
我怎么能追查违规帐户/脚本?
谢谢,
没有人应该像没有人一样跑 任何人都应该改变为运行作为负责他们的用户。 如果你有一堆共享托pipePHP作为web服务器用户运行(最常见的“无人”来源–RedHat有很多答案),停止这样做 – 使用suPHP或其他东西来带回责任位。
不过,从短期来看,如果你的日志中的垃圾邮件是一个笨拙的PHP脚本,那么你应该能够将日志中的垃圾邮件与你的web服务器日志中的匹配关联起来。 一旦你已经得到了脚本,修复它或者把它弄糟是微不足道的。
“几乎每24小时,我都会在无人帐户中收到大量未送达的邮件”
这实际上可能是反向散射攻击的指示。 如果你还没有为你的域名设置SPF,你可以考虑设置它。 它不会阻止反向散射攻击,但会给其他一些系统一个机会来拒绝来自您的基础设施的伪造消息。