我在 centos 服务器上运行带有 cPanel 的 WHM 服务器。CENTOS 7.2 x86_64 kvm – admin WHM 58.0 (build 24) cPanel 58.0.24
时不时会有 cPanel 帐户遭到黑客攻击并发送垃圾邮件。我该如何找到问题的根源并阻止它?
答案1
如果您的帐户被黑客入侵并发送垃圾邮件,我认为他们的系统上安装了某种垃圾邮件脚本。
在我开始之前: 我买了配置服务器漏洞扫描器大约两年前,它扫描了服务器上的文件,并帮助我在使用之前识别了一些垃圾邮件脚本。如果您遇到此问题,您可能也想了解一下此程序。
如果事实确实如此,本指南在解决这个问题上非常有用。它已经帮助我多次找到发送大量邮件的文件。
归结起来如下:
1.运行以下命令。它会为您提供发送电子邮件的目录列表。这将搜索您的exim_mainlog
(默认位于/var/log/exim_mainlog
)。如果垃圾邮件是很久以前发送的,则日志文件可能从那时起就被轮换了,您将无法使用此命令找到目录。尝试查找旧日志文件并grep
在其上运行第一个命令。
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
2.转到上述命令返回的目录并检查其中的文件。根据我的经验,大多数垃圾邮件脚本都使用非常明显的文件名,但检查任何你不确定的文件也不会有什么坏处。
3.检查 Apache 访问日志以查找谁在调用该脚本,此命令按升序列出访问该文件的所有 IP。
grep "<scriptname>" /home/<username>/access-logs/<domain>.<tld> | awk '{print $1}' | sort -n | uniq -c | sort -n
4.该命令也可能使用 cron 作业执行。使用此命令检查用户的 cron 作业。
crontab -l -u <username>
5.采取适当行动
您可以选择暂停帐户、阻止访问脚本的 IP 地址或删除内容。您可以采取任何您认为最适合自己的解决方案。