我的一个小型网络服务器似乎在发送垃圾邮件。它是一台 Ubuntu 8.04 系统,以 Plesk 作为配置界面,以 qmail 作为邮件服务器。
我该如何识别垃圾邮件来源?服务器本身是全新安装的,当我从旧服务器(不发送垃圾邮件)转移域、数据和数据库后,它就“开始发送垃圾邮件”。SMTP 服务器肯定需要安全身份验证(它不是开放中继)。我还使用 rkhunter 和 chkrootkit 检查了 rootkit,当时服务器文件系统是从另一台机器以只读方式安装的,但什么也没发现。
我没什么主意了。希望有人能给我一些指点。
答案1
它肯定被滥用了?首先,断开它与网络的连接,并保护日志。垃圾邮件的来源要么是 a) 已安装/被破坏的本地进程(如您所说),要么是 b) 某个使用您服务器的机器人。无论哪种情况,日志都会告诉您下一步该去哪里查看。无论哪种情况,我都会担心,因为这可能是最关键的一点。
答案2
看起来一个或多个网页已被感染/破坏。
您应该查看 apache 日志。您可以尝试使用 clamav 扫描 Web 服务器根目录(它有查找 php“邮件程序包”或其他恶意内容的模式)。
答案3
你必须区分三种情况:
远程进程正在利用网站直接发送邮件。查找易受攻击的 PHP 代码(不一定,但有可能)。网络服务器日志会告诉你。
本地账户已被破解,本地进程正在发送垃圾邮件。
除 2 之外,您的盒子已经被 root。
不要对实时系统进行取证,将机器从网络上移除,查看日志。当不能完全确定问题出在哪里时,假设 3。(删除盒子,重新安装,审核网络代码,仅允许密钥身份验证)