我在亚马逊上有一台 Ubuntu 12.04 服务器。它最近开始发送垃圾邮件。当我使用 htop 查看进程列表时,我可以看到 exim 进程,但它没有安装!我们使用的是 postfix。
我到目前为止尝试过的:
- 终止进程(立即重新出现)
- 升级所有内容(apt-get update && apt-get upgrade)
- 在我的日志中启用 X-PHP-Originating-Script(但它不会显示在日志中)
- 辅助附言:
www-data 22612 0.4 0.1 35660 7152 ? Ss 09:24 0:01 exim - 网络状态监测
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:smtp *:* LISTEN 28881/master
tcp 0 0 *:27450 *:* LISTEN 5731/exim
任何帮助都感激不尽...我尝试搜索但一无所获。
答案1
首先,您可以使用 iptables 阻止 exim,以防止在调查问题时发送垃圾邮件。
iptables -A INPUT -p tcp --dport 5731 -j DROP
(这假设您在虚拟机上为防火墙运行 iptables。如果没有,您应该检查是否阻止通过您正在运行的防火墙的流量)。
对于一般安全,请安装 rootkithunter、配置并运行扫描。您可能会发现您的 VM 已被入侵。
由于打包版本已过时,因此这里是从源代码进行编译的指南:
https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps
答案2
exim 以 www-data 身份运行,通常不应该出现这种情况。您的服务器可能已被某些恶意软件入侵。
您可以通过查看 /proc//exe(指向实际二进制文件的符号链接)来获取有关 exim 进程的更多信息。您也可以使用 ps axjf 来获取其父进程。
我建议您从上次安全备份恢复您的服务器。
答案3
您可以找到当前可执行文件的路径,查看/proc/<PID>/exe,它是它的符号链接。
ls -l /proc/<PID> | grep exe
但由于您的服务器已被入侵 - 最好从头开始重新部署它。