一位朋友正在运行 VPS(CentOS)
他的商业伙伴是系统管理员,但让他独自照看系统。因此,我被要求帮助解决一个明显的垃圾邮件问题。他的 IP 地址被列入了未经请求的邮件黑名单。我不知道在哪里查找问题,但我先使用 netstat 查看正在运行的打开连接。在我看来,他有远程主机连接到他的 SMTP 服务器。以下是输出:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 78.153.208.195:imap 86-40-60-183-dynamic.:10029 ESTABLISHED
tcp 0 0 78.153.208.195:imap 86-40-60-183-dynamic.:10010 ESTABLISHED
tcp 0 1 78.153.208.195:35563 news.avanport.pt:smtp SYN_SENT
tcp 0 0 78.153.208.195:35559 vip-us-br-mx.terra.com:smtp TIME_WAIT
tcp 0 0 78.153.208.195:35560 vip-us-br-mx.terra.com:smtp TIME_WAIT
tcp 1 1 78.153.208.195:imaps 86-40-60-183-dynamic.:11647 CLOSING
tcp 1 1 78.153.208.195:imaps 86-40-60-183-dynamic.:11645 CLOSING
tcp 0 0 78.153.208.195:35562 mx.a.locaweb.com.br:smtp TIME_WAIT
tcp 0 0 78.153.208.195:35561 mx.a.locaweb.com.br:smtp TIME_WAIT
tcp 0 0 78.153.208.195:imap 86-41-8-64-dynamic.b-:49446 ESTABLISHED
这是否表明他的服务器可能充当开放中继?邮件只能从本地主机发出。
抱歉我知识不足,但我的日常工作并不使用 Linux。
编辑:
以下是一些输出,/var/log/maillog看起来可能是垃圾邮件的结果。如果其他人认为是这种情况,我下一步应该去哪里调查根本原因?我通过 www.checkor.com 输入了服务器 IP,结果显示没有问题。
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.721674 status: local 0/10 remote 9/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886255 status: local 0/10 remote 8/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898266 delivery 74115: deferral: 187.31.0.11_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_187.31.0.11./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898327 status: local 0/10 remote 7/20
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137833 delivery 74111: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137914 status: local 0/10 remote 6/20
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903536 delivery 74000: failure: 209.85.143.27_failed_after_I_sent_the_message./Remote_host_said:_550-5.7.1_[78.153.208.195_______1]_Our_system_has_detected_an_unusual_rate_of/550-5.7.1_unsolicited_mail_originating_from_your_IP_address._To_protect_our/550-5.7.1_users_from_spam,_mail_sent_from_your_IP_address_has_been_blocked./550-5.7.1_Please_visit_http://www.google.com/mail/help/bulk_mail.html_to_review/550_5.7.1_our_Bulk_Email_Senders_Guidelines._e25si1385223wes.137/
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903606 status: local 0/10 remote 5/20
Jun 29 00:02:19 vps-1001108-595 qmail-queue-handlers[15501]: Handlers Filter before-queue for qmail started ...
编辑#2netstat -p这是删除和行imap后 的输出imaps。我还删除了自己的ssh会话
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 1 78.153.208.195:40076 any-in-2015.1e100.net:smtp SYN_SENT 24096/qmail-remote.
tcp 0 1 78.153.208.195:40077 any-in-2015.1e100.net:smtp SYN_SENT 24097/qmail-remote.
udp 0 0 78.153.208.195:48515 125.64.11.158:4225 ESTABLISHED 20435/httpd
编辑
事实证明,服务器因 OSCommerce 中的漏洞而遭到黑客攻击,远程客户端运行大量 PHP 脚本来发送邮件。这是由于目录的安全设置为/var/www/vhosts/<domain-name>/httpdocs/images777
答案1
这,
tcp 0 0 78.153.208.195:imap 86-40-60-183-dynamic.:10029
是使用 IMAP 从服务器上的邮箱读取邮件的外部连接。
这,
tcp 0 1 78.153.208.195:35563 news.avanport.pt:smtp SYN_SENT
您的服务器是否正在向 news.avanport.pt 发送出站 SMTP 邮件
在不进一步了解它应该做什么和不应该做什么的情况下,这两件事最初都不会引起怀疑。
您将需要使用 mailqueue,检查 /var/log/mail* 和邮件配置来确定它是否正确,或者在问题中提供更多信息。
答案2
我不知道你的系统是否被入侵,但是:
- 如果您想发送邮件,您应该设置一个有效的反向 DNS 条目,这就是邮件日志中的消息所属的
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./