Plesk Qmail 队列因可能的 Webform 攻击而爆炸

Plesk Qmail 队列因可能的 Webform 攻击而爆炸

我的服务器(在 CentOS 5.2 上运行 Plesk)上的 qmail 队列一夜之间激增至 120,000 多条消息。队列中的消息显然是垃圾邮件。

我已经在前一天使用 qmHandle 清除了这些邮件,但我无法确定这些邮件是如何继续发送的。这些邮件的发送地址甚至已被添加到 qmail badmailfrom 文件中(我已通过 Telnet 测试,它确实会阻止来自该地址的邮件),但这些邮件仍不断涌入。

我几乎可以肯定,这次攻击是利用服务器上托管的某个域的 Web 表单。如果我能确定是哪个域,我确信我能找到一种方法来保护表单。问题是,我如何确定电子邮件来自哪个表单?

答案1

这是解决方案!每封垃圾邮件的标题中都会有一个 uid,显示服务器上的哪个帐户用于发送电子邮件。我可以通过查看 Plesk (8.6.0) 中的服务器 > 邮件 > 邮件队列来查看 qmail 队列中的电子邮件标题。当我单击主题时,我可以在首行看到类似以下内容:

qmail 11850 invoked by uid 10059

uid 10059 标识服务器上调用 qmail 的用户。要查看该用户,请以 root 身份登录到您的服务器并从终端运行以下命令:

grep 10059 /etc/passwd

这将在您的服务器上的 passwd 文件中搜索字符串 10059 并返回结果文本。

在我发现这是哪个用户之后,我能够禁用 shell 访问,将 CAPTCHA 添加到网站上的所有 Web 表单,并更改 FTP 和其他相关密码。这样做帮助我阻止了已经获得控制权的垃圾邮件发送者。

相关内容