我不断在 Postfix 邮件日志中看到这些行,来自几个未知的非本地电子邮件地址:
Oct 3 08:47:32 srv04 postfix/pickup[86325]: F020C5C1101: uid=80 from=<[email protected]>
Oct 3 08:47:32 srv04 postfix/cleanup[87544]: F020C5C1101: message-id=<[email protected]>
Oct 3 08:47:33 srv04 postfix/qmgr[86326]: F020C5C1101: from=<[email protected]>, size=621, nrcpt=1 (queue active)
Oct 3 08:47:34 srv04 postfix/smtp[87546]: F020C5C1101: to=<[email protected]>, relay=mta5.am0.yahoodns.net[74.6.137.63]:25, delay=2, delays=0.2/0.02/0.55/1.2, dsn=2.0.0, status=sent (250 ok dirdel)
Oct 3 08:47:34 srv04 postfix/qmgr[86326]: F020C5C1101: removed
我正在使用 PHP 记录邮件,但它们似乎也不来自任何 PHP 脚本?!
mail.add_x_header = On
mail.log = /var/log/phpmail.log
我设置的 Postfix 电子邮件服务器很简单,只能从一些网站(Magento、Wordpress 等)发送本地电子邮件。
谢谢,
答案1
UID 80 可能是您的 Web 服务器正在运行的 ID,因此您可以确信您的 Web 服务器上的某些内容已被破坏并且正在发送邮件。
您在 PHP 邮件日志中看不到该信息是因为恶意脚本可能没有使用该mail()函数而是直接调用sendmail(这就是 postfix 记录 UID 80 的原因)。
您需要调查 Web 服务器日志,了解收到邮件时的访问情况,这样您也许会发现是什么脚本在执行此操作。但首先:停止 Web 服务器以阻止发送垃圾邮件。您的服务器被列入黑名单只是时间问题。
最好清除文档根目录并从备份中恢复。然后确保所有更新都适用于 Web 服务器和 Web 应用程序,以防止事件重复发生。