从服务器发送的大量电子邮件无法识别

从服务器发送的大量电子邮件无法识别

我有点进退两难,不知道如何解决。我发现服务器上的一个文件夹中有大量电子邮件,但是当我查看该文件夹时,没有一个 php 文件发送那么多电子邮件。

这是我到目前为止登录 SSH 所做的事情

运行命令

  grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

然后我运行命令

  ls -lahtr /root/to/folder

但它没有显示任何发送大量电子邮件的脚本,当我今天上次查看时说“高”时,它被设置为 135,000。

关于如何继续前进有什么建议吗?

答案1

使用

netstat -tnp

查找正在与远程服务器上的端口 25 通信的进程 PID。

使用 ps 并查看 /proc/PID/cmd 和 /proc/PID/exe 。

检查服务器日志(例如 apache 错误日志)是否有奇怪的输出,例如 wget 命令的输出。

PHP 或其他 CGI 可能存在需要修复的安全漏洞。如果这是共享服务器,则可能有人拥有较弱的 FTP 密码。

更新:我忘了提到,在 Linux 中可以启动一个进程,然后从目录中删除该文件,这样您可能就看不到该文件了。将可执行文件复制出内存使用

cp /proc/PID/exe foo.exe

然后您可以检查该文件。

答案2

可能有人正在使用您的SMTP服务器发送邮件,因为其策略允许。

您的服务器上有运行服务吗dovecotcourier

相关内容