所以,我在Amazon上有一台Ubuntu 12.04服务器。 它最近开始发送垃圾邮件。 当我做htop来查看程序列表时,我可以看到那里的exim进程,但没有安装! 我们使用的是后缀。
Htop截图
我到目前为止所尝试的是:
www-data 22612 0.4 0.1 35660 7152 ? Ss 09:24 0:01 exim www-data 22612 0.4 0.1 35660 7152 ? Ss 09:24 0:01 exim Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:smtp *:* LISTEN 28881/master
tcp 0 0 *:27450 *:* LISTEN 5731/exim Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:smtp *:* LISTEN 28881/master
tcp 0 0 *:27450 *:* LISTEN 5731/exim 任何帮助赞赏…我尝试search,但没有发现任何东西
首先,您可以使用iptables阻止exim,以防止在调查问题时发送垃圾邮件。
iptables -A INPUT -p tcp --dport 5731 -j DROP
(假设你在防火墙的虚拟机上运行iptables,如果没有的话,你应该检查你的防火墙是否被阻塞)。
对于一般安全性安装rootkithunter,configuration并运行扫描。 你可能会发现你的虚拟机已经被入侵了。
这里是一个从源代码编译的指南,因为打包的版本已经过时了: https : //www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an -ubuntu-VPS
exim正在运行www-data,通常情况下不应该这样。 您的服务器可能已被某些恶意软件入侵。
您可以通过查看/ proc // exe来获得关于exim进程的更多信息,这是符合实际二进制文件的符号链接。 你也可以使用ps axjf来获得它的父进程。
我build议你从最后的安全备份中恢复你的服务器。
您可以find当前可执行文件的path,查看/proc/<PID>/exe ,这是它的一个符号链接。
ls -l /proc/<PID> | grep exe
但是,当你的服务器已经被入侵 – 最好从头开始重新部署。