我在 WordPress 上运营一个博客。最近我收到了来自服务器的滥用投诉,经核实后,服务器返回了以下信息:
============================================================
Received: from [192.241.188.154] by usfamily.net
(USFamily MTA v5/:PG5vcm1hX2NoYW1iZXJzQG1yaW5hbHB1cm9oaXQuY29tPjxkamtpbm5leUB1c2ZhbWlseS5uZXQ_)
with SMTP id <20140301115044001084500013> for <[email protected]>;
Sat, 01 Mar 2014 11:50:44 -0600 (CST)
(envelope-from [email protected], notifiable emailnetwork 192.241.188.)
Received: by myprimarydomain.com (Postfix, from userid 498)
id 1C5EE1305AE; Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
To: [email protected]
Subject: FW: Good day
X-PHP-Originating-Script: 498:sslnEn.php
From: "Norma Chambers" <[email protected]>
Reply-To: "Norma Chambers" <[email protected]>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Message-Id: <[email protected]>
Date: Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
Content-Transfer-Encoding: quoted-printable
<div>
<p>
Top Meds Website good deal <a href=3D"http://dumantarim.com/modules/mod_=
araticlhess/rlf.html">http://dumantarim.com/modules/mod_araticlhess/rlf.h=
tml</a>
</p>
</div>
============================================================
现在我猜想这意味着:该 ID 发送了几封未经请求的电子邮件[电子邮件保护]。如果我的假设正确,那么这个电子邮件 ID 应该存在于 VPS 上,并且用户可以访问电子邮件帐户来发送邮件。这真的意味着我的服务器 (VPS) 被黑客入侵了吗?我实际上并没有在我的博客上使用任何联系表单,但这可能是由任何插件等引起的???不确定 :(
我是否走在了追踪此问题的正确道路上?请提供一些线索。
答案1
您没有提供太多信息,但听起来您的 WordPress 安装已被入侵,并且垃圾邮件发送脚本已被上传和使用。
电子邮件上的“发件人”地址并不一定意味着该帐户/地址存在于您的服务器上,因为几乎所有的电子邮件标题都可以伪造。用户 ID 很可能是您的 Web 服务器用户的 ID,即用于执行入侵者脚本的系统用户 - 您可以检查/etc/passwd以确保无误。
有关如何从黑客攻击中恢复的详细帖子是这里. 至少,你应该停止服务器上的 Apache 并扫描你的 WordPress 安装是否存在可疑失败,并更改你的帐户密码。