我安装了 CentOS 6.7、Apache、PHP 和 CakePHP 3.0。我刚刚检查了我的 /var/log/maillog。我每 5 分钟都会记录一次,从不间断。有人知道是谁在做这件事以及为什么吗?或者我如何识别是谁在做这件事以及为什么?
Apr 24 10:35:01 ip-1xx-xx-xx-1xx sendmail[30895]: u3OHZ16M030895: from=root, size=347, class=0, nrcpts=1, msgid=<[email protected]>, relay=root@localhost
Apr 24 10:35:01 ip-1xx-xx-xx-1xx sendmail[30896]: u3OHZ1UJ030896: from=<[email protected]>, size=674, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=localhost [127.0.0.1]
Apr 24 10:35:01 ip-1xx-xx-xx-1xx sendmail[30895]: u3OHZ16M030895: to=root, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30347, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (u3OHZ1UJ030896 Message accepted for delivery)
Apr 24 10:35:01 ip-1xx-xx-xx-1xx sendmail[30897]: u3OHZ1UJ030896: to=<[email protected]>, ctladdr=<[email protected]> (0/0), delay=00:00:00, xdelay=00:00:00, mailer=local, pri=30927, dsn=2.0.0, stat=Sent
答案1
如您所见,一旦按内部消息 ID 对这些日志条目进行分组,这些就是保留在服务器内的电子邮件消息:
u3OHZ16M030895: from=root ...
u3OHZ16M030895: to=root ... (u3OHZ1UJ030896 Message accepted for delivery)
和
u3OHZ1UJ030896: from=<[email protected]> ...
u3OHZ1UJ030896: to=<[email protected]> ... mailer=local ...
它主要查看 sendmail 将地址从纯文本重写root 为root@fully-qualified-hostname单个消息的两个消息 ID。
您将首先实际读取 root 用户的邮箱...一个有根据的随机猜测将是一个生成标准输出的计划作业 (cron)。
答案2
Hbruijn 的回答似乎是正确的,基本上,每当机器上的任何用户(root 或其他用户)在 brtch 模式下运行脚本而没有窗口来处理标准输出消息时,这样的消息就会发送到 @ 地址,甚至发送到 root,意思是“警告:有一些进程正在写入您无法阅读的消息,因此请注意电子邮件”。