我正在运行 postfix/dovecot 邮件服务器。今天早上,我发现它没有响应。原来是 /var/log 已满。似乎其中一名用户的帐户被黑客入侵,并被用来发送垃圾邮件。
类似这样的条目有五十万条:
Apr 28 04:12:06 ip-10-0-200-85 postfix/qmgr[3813]: E49F58330A: from=<[email protected]>, size=2353, nrcpt=20 (queue active)
我暂时关闭了 postfix 和 dovecot,目前这样还好,因为只有 6 个人在使用。但是,除了重置用户密码之外,我还应该采取什么步骤?这个用户的出站 postfix 队列中是否有我应该删除的内容(我该怎么做?)?我还应该采取其他步骤吗?
答案1
使用 查找队列中一封邮件的 ID,mailq
然后检查邮件头以查看其发送方式postcat -q ID(其中 ID 是邮件的 ID)。这样,您就可以检查电子邮件是由经过身份验证的用户还是恶意脚本发送的。
使用以下命令删除队列中该用户的所有电子邮件:
mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if ($7 == "[email protected]")
print $1 }
' | tr -d '*!' | postsuper -d -
在哪里[电子邮件保护]是发送垃圾邮件的邮箱。
之后,更改被黑用户的密码并启动Postfix 和Dovecot。