有人知道 sapd、skysapd、sksapd、ksapd 是做什么的吗?它们是病毒吗?我试过 clamav,它没有将它们识别为病毒。
我还意识到我的 /etc/rc.local 有多个这样的副本:
nohup /etc/cupsdd > /dev/null 2>&1&
cd /etc;./ksapd
cd /etc;./kysapd
cd /etc;./atdd
答案1
这是一种后门/DDoS 木马。检查您的/etc/crontab和/etc/cron.*文件,看是否有多个下载并执行这些文件的 cronjob。(请参阅https://isc.sans.edu/forums/diary//17282)
答案2
答案3
实际上 SAPD 是一个简单的电子邮件安全守护进程
用于发送电子邮件的协议 SMTP 有一个严重的缺陷,即它不需要密码。由于这个事实,电子邮件服务器很容易受到通过互联网的各种滥用,例如垃圾邮件转发和伪造发件人地址的电子邮件。
SAPD 是一个守护进程,旨在保护 Sendmail 服务器免受此类滥用,要求用户在开始发送之前获取(读取)电子邮件。由于获取电子邮件需要用户名和密码,因此我们这里有一个良好的身份验证方法,可以防止滥用 SMTP 协议。
这种认证方式称为 SMTP-After-POP3,因为它只允许在获取电子邮件(POP3)后发送电子邮件(SMTP)。因此命名为 SAPD,意思是“SMTP After POP3 Daemon”。
了解更多信息 :文档