我知道这是一个古老的问题,但是我还没有找到关于如何识别 Postfix 上的垃圾邮件脚本的令人满意的答案。
我知道我必须查看 postfix 的邮件日志,获取邮件 ID 并检查我已完成的标头内容。我似乎没有看到“X-PHP-Originating-Script”行来定位确切的脚本。相反,我看到的是 X-mailer: Mailer v1.0 行。还有其他方法可以定位从我的本地计算机发送电子邮件的脚本吗?
以下是消息 ID
*** MESSAGE CONTENTS deferred/1/17A30ED943C ***
Received: from somedomain.com (localhost [127.0.0.1])
by mymail-server.com (Postfix) with ESMTP id 17A30ED943C
for <[email protected]>; Mon, 18 Jul 2016 12:45:54 +0300 (EAT)
Date: Mon, 18 Jul 2016 09:45:54 +0000 (UTC)
From: jms <[email protected]>
To: [email protected]
Message-ID: <[email protected]>
Subject: FW: Hi nolaspud
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_3510964_1152532126.1468835154806"
X-mailer: Mailer v1.0
答案1
通过在 php.ini 文件中使用选项允许启用 X-PHP-Originating-Script 标头,可以更快地启用它mail.add_x_header = On
。
然后只需在 mailq 中检查新电子邮件。
答案2
如果你的机器被入侵了,第一步就是断开它与网络的连接。然后你可以用一台新的安全的机器来替换它。
我知道这不是你期望的答案,但清理受感染的机器可能非常复杂。你问这个问题的方式表明你缺乏处理安全问题的经验,最好的答案是用干净安全的机器替换机器。
如果您想要查看哪个进程正在发送电子邮件,请检查正在运行的进程,检查crontab
和at
。检查已加载的模块,检查计算机的网卡是否处于混杂模式。使用netstat -anp | grep :25
查看哪些进程正在连接到 SMTP。您可以使用Rootkit 猎手搜寻攻击踪迹。