如何在我的服务器上查找发出的垃圾邮件的来源

如何在我的服务器上查找发出的垃圾邮件的来源

你好,这是我第一次来这里。

我确实对 Linux 有所了解,但我似乎无法找出我的服务器上发送的大量垃圾邮件的来源。

这是 QMAIL 队列的一小部分


29 May 2014 06:29:00 GMT  #13879694  601  <marina_velazquez@spam_domain1.org>
        remote  [email protected]
29 May 2014 06:35:05 GMT  #13880108  636  <iva_holman@spam_domain1.org>
        remote  [email protected]
29 May 2014 06:38:26 GMT  #13880223  677  <kathryn_spence@spam_domain1.org>
        remote  [email protected]
29 May 2014 06:40:44 GMT  #13879786  620  <marisol_harper@spam_domain1.org>
        remote  [email protected]
29 May 2014 07:20:08 GMT  #13880361  642  <candace_hammond@spam_domain2.com>
        remote  [email protected]
29 May 2014 07:21:44 GMT  #13880407  659  <esperanza_barnett@spam_domain2.com>
        remote  [email protected]

这是我在上一封邮件中使用 less 时发现的内容


[email protected]^@Received: (qmail 7343 invoked by uid 33); 29 May 2014 07:20:07 -0500
Date: 29 May 2014 07:20:07 -0500
Message-ID: <[email protected]>
To: [email protected]
Subject:  Ha ha
From: "Candace Hammond" <candace_hammond@spam_domain2.com>
Reply-To: "Candace Hammond" <candace_hammond@spam_domain2.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit



<!-- Contents of spam message removed--> ^@

我看到的是 UID 33,但是没有邮件日志文件,我找不到这是 Ubuntu 服务器

我如何才能隔离垃圾邮件的来源?

它们是来自服务器上的脚本吗?如果是,我该如何找到它?

它们可以来自远程机器吗?如果是的话我怎么知道?

谢谢您的帮助我真的需要尽快修复此问题

保罗

答案1

在 ubuntu 上,UID 33 通常是 www-data,即 httpd 用户。最有可能的是,有人在您的服务器上发现了一个可利用的 Web 脚本,您需要找到并终止它。阅读 httpd 日志。现在,停止让 uid 33 发送邮件或建立传出连接:

iptables -I OUTPUT ! -o lo -m owner --uid-owner 33 -m conntrack --ctstate NEW -j REJECT

(您可能需要-m state --state NEW在较旧的内核上使用 conntrack)

然后禁用 httpd 的 sendmail 访问。

setfacl -m u:www-data:000 `which sendmail`

恢复:

iptables -D OUTPUT ! -o lo -m owner --uid-owner 33 -m conntrack --ctstate NEW -j REJECT
setfacl -x u:www-data `which sendmail`

现在它已被禁用,您可以随意调查您的脚本。

相关内容