几个月前,我的主机报告垃圾邮件来自我们服务器上的 3 个 IP 之一。主机将该 IP 路由为空,一切正常。我们没有在该 IP 上托管任何东西,所以这不是什么大问题。
主持人将删除空路由,因为这不是一劳永逸的解决办法。但是,我仍然无法找出问题的根源。
我如何才能识别出允许垃圾邮件通过的故障并将其关闭?服务器是 Debian,我可以看到 sendmail 进程。
请注意,该 IP 是空路由,因此在删除空路由之前,我无法对其执行任何外部扫描以查找开放端口。但是,删除空路由也有可能产生新的垃圾邮件。
您可以在此处查看垃圾邮件报告: http://www.projecthoneypot.org/ip_69.197.166.100
答案1
首先,您需要仔细检查 sendmail 的日志,看看是否发生了什么。如果一切正常,并且 sendmail 不是开放中继,则可能是其他进程正在发送电子邮件。原因可能有很多,例如 php 脚本被滥用(它是否正在运行 apache?),或者可能是帐户被劫持,攻击者安装了类似 irc 服务器的东西,通过它来控制垃圾邮件(我以前处理过清理这类事情)。
还要检查其他日志中是否存在可疑活动,查看谁登录了以及从哪里登录。/var/log/auth.log 是否充满了失败的登录尝试?(fail2ban 是一种有用的工具,可以阻止暴力猜测密码)。
如果您找不到任何明显且易于修复的原因,那么最好的办法就是彻底清除系统并重新安装操作系统。如果您的系统以任何方式受到攻击,攻击者很可能会修补 ps 等工具以避免被抓住。
还请仔细阅读以下内容: http://www.debian.org/doc/manuals/securing-debian-howto/
尤其: http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html
在清除系统之前尝试找出入侵是如何发生的可能是明智之举,或者更换系统,然后在替换运行时进行一些取证。