服务器遭黑客攻击并用于发送垃圾邮件

服务器遭黑客攻击并用于发送垃圾邮件

你好,我有CentOS一台运行邮件服务器的服务器。过去两天,服务器开始发送垃圾邮件。经过一番研究,我还是无法解决这个问题。

以下是部分统计数据Exim,有趣的是:似乎是 exim 发送了消息。

Top 50 local senders by message count
-------------------------------------
  Messages      Bytes    Average   Local sender
      1704     8292KB       4982   exim
         4       2491        622   ********.net

Top 50 local senders by volume
------------------------------
  Messages      Bytes    Average   Local sender
      1704     8292KB       4982   exim
         4       2491        622   *******.net

Top 50 host destinations by message count
-----------------------------------------
  Messages  Addresses      Bytes    Average   Host destination
      1777       1777       26MB       15KB   local
        38        565          0          0   alt1.gmail-smtp-in.l.google.com
        36        431      113KB       3214   gmail-smtp-in.l.google.com
        26         78          0          0   mx.rediffmail.rediff.akadns.net
        25         29          0          0   mx.bt.lon5.cpcloud.co.uk
        21        334          0          0   alt2.gmail-smtp-in.l.google.com
        20         24      765KB       38KB   aspmx.l.google.com
        18        227          0          0   alt3.gmail-smtp-in.l.google.com
        13        203          0          0   alt4.gmail-smtp-in.l.google.com

我尝试获取发送电子邮件的源脚本并运行以下命令:

[root@server etc]# grep cwd /var/log/exim/main.log|grep -v /var/spool|awk -F"cwd=" '{print $2}'|awk '{print $1}'|sort|uniq -c|sort -n
     35

输出为 35 并且附近没有位置。

ps aux如果这里看到一些奇怪的东西,那么这就是我的结果:

[root@v65049 ~]# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.1  19208   964 ?        Ss   17:05   0:00 init
root         2  0.0  0.0      0     0 ?        S    17:05   0:00 [kthreadd/65049]
root         3  0.0  0.0      0     0 ?        S    17:05   0:00 [khelper/65049]
root       111  0.0  0.0  10644   236 ?        S<s  17:05   0:00 /sbin/udevd -d
root       467  0.0  0.0   6148   476 ?        Ss   17:05   0:00 /sbin/portreserve
root       473  0.0  0.1 183148  1024 ?        Sl   17:05   0:01 /sbin/rsyslogd -i /var/run/syslogd.pid -c 4
named      485  0.0  0.5 165476  4088 ?        Ssl  17:05   0:00 /usr/sbin/named -u named
root       501  0.0  0.0  64316   448 ?        Ss   17:05   0:00 /usr/sbin/sshd
root       536  0.0  0.1 108156  1040 ?        S    17:05   0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysq
mysql      697  0.0  1.7 556116 13672 ?        Sl   17:05   0:07 /usr/libexec/mysqld --basedir=/usr --datadir=/var/li
root       710  0.0  0.1  19288   876 ?        Ss   17:05   0:01 /usr/sbin/dovecot
dovecot    716  0.0  0.1  13000  1016 ?        S    17:05   0:00 dovecot/anvil
root       717  0.0  0.1  13132  1120 ?        S    17:05   0:00 dovecot/log
exim       727  0.0  0.1  91516   860 ?        Ss   17:05   0:00 /usr/sbin/exim -bd -q1h
root       730  0.0  0.2  91944  1876 ?        S    17:05   0:00 /usr/sbin/exim -q
nobody     737  0.0  0.0  55516   740 ?        Ss   17:05   0:00 proftpd: (accepting connections)
root       764  0.0  0.0 117180   744 ?        Ss   17:05   0:00 crond
root       774  0.0  0.0  21428   296 ?        Ss   17:05   0:00 /usr/sbin/atd
root       781  0.0  0.1  38136   860 ?        Ss   17:05   0:03 /usr/local/ispmgr/sbin/eximquota
root       783  0.0  0.1  39516  1232 ?        Ss   17:05   0:00 /usr/local/ispmgr/sbin/ihttpd 0.0.0.0 1500
root       785  0.0  0.0   4052   500 tty1     Ss+  17:05   0:00 /sbin/mingetty console
root       787  0.0  0.0   4052   500 tty2     Ss+  17:05   0:00 /sbin/mingetty tty2
root       850  0.0  0.2  94084  2228 ?        S    17:05   0:00 sshd: root@notty
root       889  0.0  0.1  55616  1056 ?        Ss   17:05   0:00 /usr/libexec/openssh/sftp-server
root       902  0.0  0.2  95184  2232 ?        S    17:05   0:02 sshd: root@pts/0
root       908  0.0  0.1 108392  1252 pts/0    Ss+  17:05   0:00 -bash
root       935  0.0  0.2  93944  2236 ?        S    17:06   0:01 sshd: root@pts/1
root       938  0.0  0.1 108404  1172 pts/1    Ss   17:06   0:00 -bash
root       978  0.0  0.0 100928   520 pts/1    S+   17:06   0:00 tail -f /var/log/maillog
root      4884  0.0  0.2  91944  1884 ?        S    18:05   0:00 /usr/sbin/exim -q
root      9112  0.0  0.2  91948  1892 ?        S    19:05   0:00 /usr/sbin/exim -q
root     13562  0.0  0.2  91944  1900 ?        S    20:05   0:00 /usr/sbin/exim -q
root     18115  0.0  0.3  91948  3060 ?        S    21:05   0:00 /usr/sbin/exim -q
root     18231  0.0  0.4  93944  3268 ?        S    21:06   0:00 sshd: root@pts/2
root     18235  0.0  0.2 108292  1732 pts/2    Ss+  21:06   0:00 -bash
root     20963  0.0  0.4  93944  3284 ?        S    21:35   0:00 sshd: root@pts/3
root     20974  0.0  0.2 108292  1812 pts/3    Ss   21:35   0:00 -bash
501      23921  0.0  0.4  43208  3332 ?        S    22:05   0:00 dovecot/imap
root     31184  0.0  1.2 396524  9840 ?        Sl   23:12   0:00 bin/ispmgr
root     31700  0.0  0.2  92212  2296 ?        S    23:19   0:00 /usr/sbin/exim -q
exim     31807  0.0  0.2  92408  2056 ?        S    23:20   0:00 /usr/sbin/exim -q
root     31857  0.1  0.2  92344  2276 ?        S    23:20   0:00 /usr/sbin/exim -q
root     31858  0.0  0.2  92344  2248 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31860  0.2  0.4  92540  3632 ?        S    23:20   0:00 /usr/sbin/exim -q
root     31863  0.0  0.2  92080  2148 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31865  0.3  0.4  92536  3712 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31868  0.4  0.4  92540  3684 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31869  0.2  0.5  92540  3940 ?        S    23:20   0:00 /usr/sbin/exim -q
root     31870  0.2  0.2  92080  2136 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31872  0.1  0.4  92348  3372 ?        S    23:20   0:00 /usr/sbin/exim -q
exim     31876  0.5  0.4  92572  3640 ?        S    23:20   0:00 /usr/sbin/exim -q
root     31877  0.0  0.1 110216  1140 pts/3    R+   23:20   0:00 ps aux

请建议我可以尝试解决该问题,并提前致谢。

PS 我已经Apache在服务器上运行了。我停止了它,但服务器仍在继续发送电子邮件。

答案1

尝试一下这个,您可以创建一个告诉您原始脚本的日志条目。

http://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server/

摘自上面的链接(精华):

只需将以下两行添加到您的 php.ini 中,您就可以使用 PHP 追踪几乎所有发出的垃圾邮件

mail.add_x_header = On
mail.log = /var/log/phpmail.log

相关内容