服务器每 5 分钟发送一次垃圾邮件 - 找不到导致此问题的任务/cron

tag-icon tag-icon linux
服务器每 5 分钟发送一次垃圾邮件 - 找不到导致此问题的任务/cron

我管理的 Linux 服务器每 5 分钟就会从特定用户帐户发送数百条垃圾邮件。

我在用户账户(运行 Wordpress)中发现了几个 PHP 漏洞脚本。其中一个是 Meyhem dropper。

但是,我没有在系统上发现任何迹象表明 dropper 已经破坏了系统。它们引用的文件不存在,没有正在运行的“主机”进程,crontab 中没有任何内容,端口 80 上没有异常监听或连接等。我检查了所有正在运行的进程,没有发现任何异常(可能遗漏了某些内容)。

然而,唯一的问题迹象是系统每五分钟发送大量消息,使用相同的“发件人”用户名(上面提到的受感染用户的用户名)。

我可以监控 /var/log/maillog,每 5 分钟这些消息就会进入队列。

我不知道该如何判断哪个进程在做这件事。我已经停止了 httpd、crond、atd,并禁用了客户的网站,这样就不会有任何东西攻击恶意的 PHP 文件。我还重命名了 PHP 文件。但仍然,每隔 5 分钟,日志文件就会显示该用户发出了另一堆消息。

谁能告诉我如何找到这个漏洞/恶意软件/等等?

如果有办法监视所有新生成的进程,我就能知道在垃圾邮件发出时生成了哪个进程。有什么想法吗?

邮件日志摘录:

Jan 28 18:12:13 xyz postfix/qmgr[6829]: C4BF3206075: from=<username@xyz.[domain name here].net>, size=1199, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C0421227061: from=<username@xyz.[domain name here].net>, size=1222, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C05082060C7: from=<username@xyz.[domain name here].net>, size=1180, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BA6D922629A: from=<username@xyz.[domain name here].net>, size=1232, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC58A226B0F: from=<username@xyz.[domain name here].net>, size=1224, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BB1C6227574: from=<username@xyz.[domain name here].net>, size=1216, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: B896B226EB3: from=<username@xyz.[domain name here].net>, size=1194, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC7532266B8: from=<username@xyz.[domain name here].net>, size=1186, nrcpt=1 (queue active)

答案1

在 php.ini 中找到 mail.log。激活记录 PHP 邮件。

mail.log = /var/log/phpmaillog

同时激活 x-mail-headers

mail.add_x_header = 1

重新启动 httpd 以激活 PHP 更改。

然后开始监控该日志。

尾部-f / var / log / phpmaillog

删除那些 PHP 文件。安装 iThemes Wordpress 插件。

答案2

如果您还存在 rootkit 漏洞,那么您将无法看到受感染机器上的进程、网络连接等。这是因为您使用的可执行文件已被感染,并且已调整为不显示其他受感染的工具和服务。

在这种情况下,你必须至少从可验证的单独操作系统启动(例如系统救援光盘将是我的出发点)。然后,您可以根据安装校验和验证所有可执行文件,并重新安装任何可疑文件。理想情况下,您可以拆除系统并重新安装。

我相信有很多关于从 rootkit 中恢复的有用文章https://security.stackexchange.com/

答案3

也许 TCPdump 可以给你一些启发。观察网卡向目标发送的流量,即

tcpdump -i eth0 -p smtp -Z root(或者添加 IP,而不是 SMTP)

相关内容