该服务器是否已被入侵?

该服务器是否已被入侵?

一位朋友正在运行 VPS(CentOS)

他的商业伙伴是系统管理员,但让他独自照看系统。因此,我被要求帮助解决一个明显的垃圾邮件问题。他的 IP 地址被列入了未经请求的邮件黑名单。我不知道在哪里查找问题,但我先使用 netstat 查看正在运行的打开连接。在我看来,他有远程主机连接到他的 SMTP 服务器。以下是输出:

    Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10029 ESTABLISHED 
tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10010 ESTABLISHED 
tcp        0      1 78.153.208.195:35563        news.avanport.pt:smtp       SYN_SENT    
tcp        0      0 78.153.208.195:35559        vip-us-br-mx.terra.com:smtp TIME_WAIT   
tcp        0      0 78.153.208.195:35560        vip-us-br-mx.terra.com:smtp TIME_WAIT   
tcp        1      1 78.153.208.195:imaps        86-40-60-183-dynamic.:11647 CLOSING     
tcp        1      1 78.153.208.195:imaps        86-40-60-183-dynamic.:11645 CLOSING     
tcp        0      0 78.153.208.195:35562        mx.a.locaweb.com.br:smtp    TIME_WAIT   
tcp        0      0 78.153.208.195:35561        mx.a.locaweb.com.br:smtp    TIME_WAIT   
tcp        0      0 78.153.208.195:imap         86-41-8-64-dynamic.b-:49446 ESTABLISHED 

这是否表明他的服务器可能充当开放中继?邮件只能从本地主机发出。

抱歉我知识不足,但我的日常工作并不使用 Linux。


编辑:
以下是一些输出,/var/log/maillog看起来可能是垃圾邮件的结果。如果其他人认为是这种情况,我下一步应该去哪里调查根本原因?我通过 www.checkor.com 输入了服务器 IP,结果显示没有问题。

Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.721674 status: local 0/10 remote 9/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886255 status: local 0/10 remote 8/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898266 delivery 74115: deferral: 187.31.0.11_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_187.31.0.11./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898327 status: local 0/10 remote 7/20
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137833 delivery 74111: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137914 status: local 0/10 remote 6/20
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903536 delivery 74000: failure: 209.85.143.27_failed_after_I_sent_the_message./Remote_host_said:_550-5.7.1_[78.153.208.195_______1]_Our_system_has_detected_an_unusual_rate_of/550-5.7.1_unsolicited_mail_originating_from_your_IP_address._To_protect_our/550-5.7.1_users_from_spam,_mail_sent_from_your_IP_address_has_been_blocked./550-5.7.1_Please_visit_http://www.google.com/mail/help/bulk_mail.html_to_review/550_5.7.1_our_Bulk_Email_Senders_Guidelines._e25si1385223wes.137/
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903606 status: local 0/10 remote 5/20
Jun 29 00:02:19 vps-1001108-595 qmail-queue-handlers[15501]: Handlers Filter before-queue for qmail started ...

编辑#2
netstat -p这是删除和行imap后 的输出imaps。我还删除了自己的ssh会话

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      1 78.153.208.195:40076        any-in-2015.1e100.net:smtp  SYN_SENT    24096/qmail-remote. 
tcp        0      1 78.153.208.195:40077        any-in-2015.1e100.net:smtp  SYN_SENT    24097/qmail-remote. 
udp        0      0 78.153.208.195:48515        125.64.11.158:4225          ESTABLISHED 20435/httpd

编辑
事实证明,服务器因 OSCommerce 中的漏洞而遭到黑客攻击,远程客户端运行大量 PHP 脚本来发送邮件。这是由于目录的安全设置为/var/www/vhosts/<domain-name>/httpdocs/images777

答案1

这,

tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10029

是使用 IMAP 从服务器上的邮箱读取邮件的外部连接。

这,

tcp        0      1 78.153.208.195:35563        news.avanport.pt:smtp       SYN_SENT

您的服务器是否正在向 news.avanport.pt 发送出站 SMTP 邮件

在不进一步了解它应该做什么和不应该做什么的情况下,这两件事最初都不会引起怀疑。

您将需要使用 mailqueue,检查 /var/log/mail* 和邮件配置来确定它是否正确,或者在问题中提供更多信息。

答案2

我不知道你的系统是否被入侵,但是:

  • 如果您想发送邮件,您应该设置一个有效的反向 DNS 条目,这就是邮件日志中的消息所属的

Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./

相关内容