看起来好像有垃圾邮件发送者进入了我的服务器。我是 LAMP 新手,不知道如何找到我的漏洞在哪里,不确定是 SMTP、脚本还是哪里。我的服务器运行良好已有一年多,但现在却被入侵了。
您是否知道有关如何保护我的服务器的任何好的手册(针对傻瓜或新手)?
就在今天(12 小时内),我收到了近 3,000 封“失败”电子邮件。我的 IP 现在已被禁止......
任何帮助表示感谢
答案1
很有可能服务器实际上并未受到攻击,而您只是在运行开放中继。
第一步,检查防火墙是否阻止了 SMTP(TCP 端口 25)(假设您没有在此服务器上接收邮件,而只是发送邮件。如果您也接收邮件,请确保您正在对用户进行身份验证)
另外,请检查用于发送电子邮件的任何网络表单 - 这些表单经常被滥用,用于将邮件发送到任何地方,而不仅仅是您想要的地址。
答案2
首先,您需要知道他们是否真的入侵了您的服务器,还是只是在欺骗您的邮件服务器地址。您查看过日志吗?您是否在数据库服务器、Web 服务器、邮件服务器中看到异常活动?您是否看到异常网络活动?
如果服务器已被入侵,您需要将其脱机,并且可能需要从已知良好的备份中清除并重新安装,并对所有组件和框架应用更新。您是否一直在关注这些情况?
您是否运行过入侵检测软件?像 Tripwire 这样的软件,可以获取文件的 MD5 值,以便您知道哪些文件被更改了?您是否运行过 rootkit 检测程序来查明有人是如何进入的,或者可能安装了什么?
如果您的服务器被入侵,如果其他人获得了 root 权限,他们很容易替换系统二进制文件,因此您无法信任任何东西。甚至 ls、ps 或 top 也不行,它们可能被 rootkit 替换以隐藏恶意软件进程。您唯一能做的就是将另一个已知干净的系统连接到网络,并查看您的服务器中是否存在异常活动。
如果入侵者没有掩盖自己的踪迹,您很有可能在日志文件中找到一些活动。但是,如果这是一种妥协,您就不能完全信任他们。您只能通过配置日志守护程序将日志镜像到另一台服务器来解决这个问题,该服务器的唯一目的是汇总来自系统的日志。
因此,请确定您的服务器是否确实已被入侵,如果有任何迹象表明存在入侵,请将其脱机并通过从已知良好的备份重新安装来清理它。如果您想弄清楚发生了什么,请对您的驱动器进行取证复制。