SEC 启动恶意进程并发送数百封邮件

SEC 启动恶意进程并发送数百封邮件

我通过以下方式启动了一个安全进程

/etc/init.d/sec 启动
使用错误的配置文件(传递的参数采用了非预期的格式)。

当规则通过时,它会尝试向我发送邮件。如果邮件脚本死机,它会向我发送邮件,告知邮件脚本死机。

我收到了数百封与此过程有关的邮件...我通过以下方式找到了一个安全进程

ps auxw | grep sec
并杀死了它。

给我发邮件的脚本名为 mailsec.sh。我移动了该文件,因此它不再能执行。

ps auxw | grep mailsec.sh
也没有显示任何内容。

但是,我仍然收到电子邮件,并且服务器的平均负载确实很高。有什么方法可以调试这个问题吗?

尝试运行以下命令来查看队列中的内容。几分钟前我清除了队列,因此应该会显示 notihgn,但实际上什么都没有显示:

root@localhost:/var/log# exim4 -bp
root@localhost:/var/log# mailq
root@localhost:/var/log#

答案1

使用 检查您的队列mailq,也许您有太多消息排队等待传递,这将需要一些时间。您可以使用exim4 -Mrm <id>从队列中删除一条消息,因此如果您 grep 了您不想要的消息的正确 ID,则可以使用如下循环将其删除for

mailq |grep root | awk '{ print $3}' | xargs exim4 -Mrm

请注意,在这种情况下,我正在 grep,root因此它将删除由 root 发送的任何消息,YMMV。

相关内容