我的服务器已经被CBL阻止参与curtwail spambot。
最初我们怀疑它是来自PC而不是来自服务器,但是路由器阻止了所有来自服务器的数据包。
我刚刚执行了tcpdump命令,每隔5分钟我就会在端口25上看到一系列非常可疑的活动,我相信服务器上有一些进程正在运行:
13:02:30.027436 IP exprod5og110.obsmtp.com.53803 > ubuntu.local.smtp: Flags [S], seq 171708781, win 5744, options [mss 1436,sackOK,TS val 3046699707 ecr 0,nop,wscale 2], length 0 我已经停止了后缀,但仍然有上面的25端口的stream量。
但是我怎么能find什么进程是实际上沟通25端口,因为它只是几秒钟,所以例如lsof -i:25将永远不会赶上它。
我一直在这个工作了2天,这是一个活的服务器,我不能简单地closures它,关于如何检测这个电子邮件机器人程序的来源的任何build议?
通常,当postfix不发送垃圾邮件时,它是networking服务器。
因此,我会使用tcpdump来查看是否发送了一些垃圾邮件,然后停止apache,并检查tcpdump是否仍然发送一些垃圾邮件。
现在还有一个问题,我喜欢:“我怎样监视哪个进程使用TCP端口号12345?一种交互式的lsof或者netstat -ntp”
我认为iftop不能做到这一点。
这是恕我直言,在你的问题中真正有趣的部分,你应该再次作为一个独立的问题,因为这可能是很多读者有趣的问题。
也许你应该像wireshark一样的工具来分析来自服务器的stream量? 您应该能够识别垃圾邮件等未经批准的stream量。
遵循本指南: http : //www.doitscared.com/738/holy-cow-batman-my-linux-server-got-hacked/除了rkhunter和chkrootkit,请用老虎检查你的服务器。
如果这台服务器是您所依赖的高效系统,那么definitley肯定没有坏人可以访问服务器了。 如果你不确定系统是否干净又干净,那么你必须重新安装系统或者进行干净的备份。