你好,这是我第一次来这里。
我确实对 Linux 有所了解,但我似乎无法找出我的服务器上发送的大量垃圾邮件的来源。
这是 QMAIL 队列的一小部分
29 May 2014 06:29:00 GMT #13879694 601 <marina_velazquez@spam_domain1.org>
remote [email protected]
29 May 2014 06:35:05 GMT #13880108 636 <iva_holman@spam_domain1.org>
remote [email protected]
29 May 2014 06:38:26 GMT #13880223 677 <kathryn_spence@spam_domain1.org>
remote [email protected]
29 May 2014 06:40:44 GMT #13879786 620 <marisol_harper@spam_domain1.org>
remote [email protected]
29 May 2014 07:20:08 GMT #13880361 642 <candace_hammond@spam_domain2.com>
remote [email protected]
29 May 2014 07:21:44 GMT #13880407 659 <esperanza_barnett@spam_domain2.com>
remote [email protected]
这是我在上一封邮件中使用 less 时发现的内容
[email protected]^@Received: (qmail 7343 invoked by uid 33); 29 May 2014 07:20:07 -0500
Date: 29 May 2014 07:20:07 -0500
Message-ID: <[email protected]>
To: [email protected]
Subject: Ha ha
From: "Candace Hammond" <candace_hammond@spam_domain2.com>
Reply-To: "Candace Hammond" <candace_hammond@spam_domain2.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
<!-- Contents of spam message removed--> ^@
我看到的是 UID 33,但是没有邮件日志文件,我找不到这是 Ubuntu 服务器
我如何才能隔离垃圾邮件的来源?
它们是来自服务器上的脚本吗?如果是,我该如何找到它?
它们可以来自远程机器吗?如果是的话我怎么知道?
谢谢您的帮助我真的需要尽快修复此问题
保罗
答案1
在 ubuntu 上,UID 33 通常是 www-data,即 httpd 用户。最有可能的是,有人在您的服务器上发现了一个可利用的 Web 脚本,您需要找到并终止它。阅读 httpd 日志。现在,停止让 uid 33 发送邮件或建立传出连接:
iptables -I OUTPUT ! -o lo -m owner --uid-owner 33 -m conntrack --ctstate NEW -j REJECT
(您可能需要-m state --state NEW
在较旧的内核上使用 conntrack)
然后禁用 httpd 的 sendmail 访问。
setfacl -m u:www-data:000 `which sendmail`
恢复:
iptables -D OUTPUT ! -o lo -m owner --uid-owner 33 -m conntrack --ctstate NEW -j REJECT
setfacl -x u:www-data `which sendmail`
现在它已被禁用,您可以随意调查您的脚本。