我是 Linux 新手,我的服务器似乎被列入了 CBL 黑名单。我的一个 Wordpress 安装似乎被入侵了,并且安装了一些恶意软件。
我运行了 ClamAV,它在过时的 Wordpress 安装中发现了这些恶意文件。
我已经从服务器上删除了整个安装,当我再次运行 ClamAV 时,它没有在系统中发现任何可疑或感染的内容。
另外,我在 php.ini 文件中添加了以下内容,以查找服务器上发送垃圾邮件的 PHP 脚本:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
我仍然在 mail.log 文件中看到垃圾邮件条目,但 /var/log/phpmail.log 中什么都没有显示?这个文件完全是空的。
以下是我在 mail.log 中看到的一些条目示例:
Mar 28 19:31:23 localhost sm-mta[23577]: t2Q7MUvi008463: to=<[email protected]>, delay=2+12:08:53, xdelay=00:00:01, mailer=esmtp, pri=16680851, relay=mx2.free.fr. [212.27.42.58], dsn=4.0.0, stat=Deferred: 451 too many errors from your ip (xxx.xxx.xxx.xxx), please visit http://postmaster.free.fr/
Mar 28 19:31:26 localhost sm-mta[25413]: t2R8l6nK026010: to=<[email protected]>, delay=1+10:44:20, xdelay=00:02:06, mailer=esmtp, pri=10740867, relay=verison.net. [72.52.10.14], dsn=4.0.0, stat=Deferred: Connection timed out with verison.net.
Mar 28 19:31:30 localhost sm-mta[7658]: t2Q71Y5L002621: to=<[email protected]>, delay=2+12:29:56, xdelay=00:03:09, mailer=esmtp, pri=16140966, relay=gmail.co. [74.125.228.214], dsn=4.0.0, stat=Deferred: Connection timed out with gmail.co.
Mar 28 19:31:31 localhost sm-mta[17713]: t2RFxunZ004247: to=<[email protected]>, delay=1+03:31:35, xdelay=00:08:25, mailer=esmtp, pri=7680920, relay=yahoo.co. [98.137.236.150], dsn=4.0.0, stat=Deferred: Connection timed out with yahoo.co.
我似乎无法弄清楚是什么原因导致邮件日志中出现垃圾邮件条目。
还有什么想法我还能做什么吗?
编辑:还确认我没有在 sendmail 中运行开放中继
答案1
ClamAV 发现的恶意软件很可能正在以某种方式掩盖其踪迹。
您可以看到它正在发送垃圾邮件,并且您已将其隔离到至少一个 Wordpress 漏洞,因此请通过重命名 docroot 目录来禁用有问题的 Wordpress 安装。然后手动将 WP 重新安装到最新版本。
如果可以的话,最好在此之后运行 rootkit 检查。