我有一台活动不多的服务器。今天,服务器负载突然超过 12,与正常值(0.5)相比,这太高了。我检查了一下,发现一个名为 postfix 的程序正在使用它来smpt 发送电子邮件。它的完整参数:
smtp -t unix -u
我使用CentOS release 6.7,我定期更新我的服务器。netstat 向我显示如下内容:
我还检查了一下/var/log/maillog ,发现在过去的 10 个小时内已经发送了数十万封电子邮件。
我如何才能知道谁是幕后黑手?我如何才能知道这是内部的还是外部的?
PS:postfix 已关闭。
答案1
要了解这种情况是如何发生的,您需要查看 postfix 日志。您的 postfix 配置不正确,或者您的某个授权主机(通常是 Web 服务器)被攻陷。如果 postfix 日志显示这是来自您的本地主机,则lsof -i -n可以提供有用的信息。
答案2
您很可能已经开放中继已启用,并且一些机器人/扫描器已发现您。查看您的 postfix 配置文件 ( /etc/postfix/main.cf) 并查找类似以下内容的内容:
我的网络 = 0.0.0.0/0
如果是这种情况,您将必须决定允许哪些网络中继邮件,甚至完全禁用它,只留下本地主机。