我有一台运行 Exim 的 Linux 服务器。有些用户正在发送垃圾邮件。我之所以能发现这一点,是因为几乎每 24 小时我都会在 nobody 帐户中收到大量未送达的邮件。
我可以看到 Exim 队列是如何快速增长的,直到现在,我不得不重新启动服务器才能停止洪流。
我尝试使用 ps 和 top 来识别生成垃圾邮件的帐户,但我猜测它是通过 php 脚本并以 nobody 身份运行。
我怎样才能追踪有问题的账户/脚本?
谢谢,
答案1
任何东西都不应以 nobody 身份运行。任何以 nobody 身份运行的东西都应更改为以负责它们的用户身份运行。如果您有一堆共享主机 PHP 都以 web 服务器用户身份运行(最常见的“nobody”源 - RedHat 对此负有很大责任),请停止这样做 - 使用 suPHP 或其他东西来恢复一些责任。
不过,就目前情况而言,如果它是一个有问题的 PHP 脚本,您应该能够将日志中的垃圾邮件运行与 Web 服务器日志中的点击情况关联起来;一旦您获得了该脚本,修复或调整它就很容易了。
答案2
“几乎每 24 小时我都会在 nobody 帐户中收到大量未送达的邮件”
这实际上可能表明存在反向散射攻击。如果您尚未为您的域设置 SPF,您可以考虑设置它。它不会阻止反向散射攻击,但会让其他一些系统有机会拒绝不是来自您的基础设施的伪造消息。