服务器遭到入侵 - 我如何找出正在发送邮件的内容

服务器遭到入侵 - 我如何找出正在发送邮件的内容

我的一个朋友拥有几家小型企业,并在专用主机上为他们托管基于 Wordpress 的网站。 WordPress 安装被忽视了一段时间,主机最终受到了损害。现在每秒有 100 条垃圾邮件发出。我可以查看什么来确定邮件的生成内容?

阻止垃圾邮件的唯一方法是关闭 Postfix。我们已将其关闭几天,以防止垃圾邮件,但这也意味着他无法从他的企业地址发送邮件。

如果我关闭 apache 和 postfix,netstat 会显示除了我的 SSH 登录之外没有任何远程连接。如果我随后启动 postfix(但让 apache 停止),则会立即打开 100 个到端口 25 的远程连接。这让我相信主机上的某些进程正在执行此操作,而不是通过我们在清理过程中错过的 WordPress/某些流氓脚本传入的内容。这里也有 IRC 机器人,但我们已经删除了它们,并且 netstat 不再显示任何与 IRC 的开放连接。

当我查看 ps axjf 时,所有 smtp 进程都会汇总到 /usr/libexec/postfix/master,其父 ID 为 1。这并不能真正让我了解邮件是在哪里生成的。

ps 和 top 都没有显示任何可疑进程(据我所知)。

我还可以查看什么来查看正在创建/发送邮件的内容?如果有帮助的话,我可以在运行和不运行后缀的情况下发布 pswhatever_flags_you_want 的输出。

谢谢。

答案1

您需要完全清除操作系统并重新安装。很多事情都可以改变。

答案2

谢谢大家的回复。我们确实安装并运行了 rkhunter,但它没有找到任何东西。

看起来我们确实在最初的清理中处理了这个问题,但 postfix 试图重新发送在主机被列入黑名单后退回的邮件。

/var/spool/postfix/deferred 中滞留着数百条消息。我认为当我启动 postfix 时,它会将这些移回 ./active 并尝试重新发送。我刚刚删除了 ./deferred 和 ./active 中的所有内容,然后启动了 postfix。似乎没有创建或发送任何新消息。我想这只是我不理解 postfix 是如何工作的。

我一直在跑步

watch -d -n 1 'ls -lhart /var/spool/postfix/active'

观看 'netstat --program --numeric-hosts --numeric-ports --extend | grep -E ":25|postfix|smtp"'

大约 30 分钟,没有看到任何外出活动。

相关内容