我有点进退两难,不知道如何解决。我发现服务器上的一个文件夹中有大量电子邮件,但是当我查看该文件夹时,没有一个 php 文件发送那么多电子邮件。
这是我到目前为止登录 SSH 所做的事情
运行命令
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
然后我运行命令
ls -lahtr /root/to/folder
但它没有显示任何发送大量电子邮件的脚本,当我今天上次查看时说“高”时,它被设置为 135,000。
关于如何继续前进有什么建议吗?
答案1
使用
netstat -tnp
查找正在与远程服务器上的端口 25 通信的进程 PID。
使用 ps 并查看 /proc/PID/cmd 和 /proc/PID/exe 。
检查服务器日志(例如 apache 错误日志)是否有奇怪的输出,例如 wget 命令的输出。
PHP 或其他 CGI 可能存在需要修复的安全漏洞。如果这是共享服务器,则可能有人拥有较弱的 FTP 密码。
更新:我忘了提到,在 Linux 中可以启动一个进程,然后从目录中删除该文件,这样您可能就看不到该文件了。将可执行文件复制出内存使用
cp /proc/PID/exe foo.exe
然后您可以检查该文件。
答案2
可能有人正在使用您的SMTP服务器发送邮件,因为其策略允许。
您的服务器上有运行服务吗dovecot?courier