情况(使用 GPG)是否可能是恶意软件攻击?

情况(使用 GPG)是否可能是恶意软件攻击?

我正在维护一个 ubuntu 服务器 (22.04),突然无法通过 FTP 访问某些文件。我检查了几件事,发现 gpg root 进程占用了大量 CPU。我将其终止后,它不断重新启动,因此我执行了以下操作:

  1. 关闭机器
  2. 以恢复模式启动
  3. 运行 clamscan -r /

我担心这可能是勒索软件,所以我很警惕。Clamscan 尚未给出任何结果,但我认为不会。

在关闭电源之前,我还看到很多无法终止的 postfix 进程(终止后它们不断重新启动)。我不知道这两件事如何关联,但我从未见过这么多的 postfix 进程。

/var/log/mail.log是 8Gb,并且/var/log/syslog显示了很多与此相关的奇怪活动(完全相同的情况出现在/var/log/mail.log):

2 月 13 日 00:00:00 server3 postfix/cleanup[1734228]: 7F9D6B2A95: message-id=>22301258... 2 月 13 日 00:00:00 server3 postfix/local[1735989]: A40CDB220C5: to=<owner-owner-owner-owner-owner-owner-owner-owner-owner......

这将永远持续下去

这是可疑的事情,/var/log/mail.err显示这些错误:

"fatal: root(0): message too big"就好像某些东西试图附加大文件或者“所有者-所有者-所有者”文本很大。

我也看到了另外两台机器网络中存在相同的后缀问题,但与 gpg 无关。

欢迎任何有这些问题经验的人。任何有见解的人都会非常有帮助。你认为 gpg 进程可能是勒索软件吗?如果 clamscan 没有发现任何东西,该怎么办?

答案1

不,这听起来就像您有一个邮件循环,同一条消息在系统中(或可能在两个系统之间)反复循环。您看到的进程正在尝试传递消息的副本;它们重新出现是因为还有更多副本需要传递。(也许其中一些是自动“传递消息失败”消息,它们本身会以某种方式触发自身的多个副本。)

(如果我不得不猜测的话,那里有一个“邮件列表”设置,它首先接受“foo”作为列表名称并尝试将消息传递给“foo-owner”,这是邮件列表管理员的常用别名格式……但随后再次将“foo-owner”解释为列表名称,并尝试将消息传递给“foo-owner-owner”等。)

运行mailq并查看 SMTP 队列。如有必要,使用postsuper -h ALL将所有邮件搁置以供手动检查(它们位于 /var/spool/postfix 中)或-d ALL删除所有等待的消息。

相关内容