我们的 Linux 服务器遇到了一点噩梦。
有人利用我们的服务器发送垃圾邮件。我清理了所有输入,设置了验证码图像,更改了密码等,但仍然如此。
不知何故,他们继续这样做。每小时收到数千封电子邮件。我们每天的电子邮件数量限制为 3000 封,因此在我清理队列后,这几乎会阻止我们的 SMTP。问题是,所有这些不断收到的电子邮件都存储在某个地方作为“未处理”邮件,这使我们的磁盘空间达到极限,然后我甚至无法查看网站。我们的服务器是典型的 Linux,使用 Plesk 9.3 作为面板。在所有这些垃圾邮件上,它们显示[电子邮件保护]作为发件人,我猜这是一个默认的系统地址。
我迫切需要停止这种情况,但我根本不知道该怎么做。有没有办法阻止该电子邮件地址发送电子邮件?通过 SSH 还是在 Plesk 中?
这是其中一封垃圾邮件的标题:
Received: (qmail 20441 invoked by uid 48); 9 Mar 2012 09:29:55 -0200
Date: 9 Mar 2012 09:29:55 -0200
Message-ID: <[email protected]>
To: [email protected]
Subject: Viaqra 0,89
From: "Reuben Velasquez" <[email protected]>
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
答案1
看起来 root 帐户已被盗用,或者正在运行一些不应该运行的进程或脚本。您还可能正在运行开放中继(这真的很糟糕)。
你可以使用以下命令轻松检查是否正在运行开放中继:工具箱,只需输入您的域名并测试 SMTP。
如果 root 帐户被盗用,唯一真正的解决方案是彻底删除服务器并重新安装操作系统。
要么从您信任的未盗用的备份中恢复,要么从头开始全新安装。
答案2
SMTP 邮件服务器会维护磁盘队列,以防止服务器问题导致邮件丢失。您可以通过mailq以 root 身份运行来查看当前队列中的内容。
了解您正在使用的邮件服务器也会有所帮助;包括一些显示处理这些垃圾邮件的日志,以便我们了解情况。
答案3
您说您已停止服务但电子邮件仍在接收。
如果您的意思是,您收到的消息似乎来自您自己的邮件服务器;那么我认为邮件头是伪造的,即,该消息实际上来自其他地方,但是以一种看起来像是来自您的服务器的方式创建。
您需要查看邮件到达时的完整标头,以确定发送者的真实 IP 地址。您还需要查看您自己的服务器的日志(包括带宽日志),以确保它不处于活动状态。