Linux
如何從 Syslog 和 mail.log 中辨識郵件使用者?
我的系統上有一個使用者似乎正在發送大量郵件,但我很難確定他是誰。我不知道他用來驗證的 IP 地址或使用者名。
syslog 中的一項此類條目是:
root@s2:~# zgrep '2EA87A0CDF' /var/log/syslog.2.gz | more Jul 28 21:04:32 s2 postfix/pickup[10654]: 2EA87A0CDF: uid=33 from=<callcenter@bdo.com> Jul 28 21:04:32 s2 postfix/cleanup[11263]: 2EA87A0CDF: message-id=<56a1b0b372c938dfc989c5630be75ac1@www.ourCustomersDomain.com> Jul 28 21:04:32 s2 postfix/qmgr[2545]: 2EA87A0CDF: from=<callcenter@bdo.com>, size=4808, nrcpt=1 (queue active) Jul 28 21:04:36 s2 postfix/smtp[11361]: 2EA87A0CDF: to=<mangmkkepweng@yahoo.com>, relay=mta5.am0.yahoodns.net[98.137.159.27]:25, delay=4.4, delays=0.01/0.01/1.2/3.2, dsn=2.0.0, status=sent (250 ok dirdel) Jul 28 21:04:36 s2 postfix/qmgr[2545]: 2EA87A0CDF: removed請注意以下事項:
- 我已將客戶的域名替換為 ourCustomersDomain.com。
- bdo.com 域是我們未處理的外部域,似乎被用作我們使用者提供的發件人地址。
- 因為我知道客戶的域,所以我正在尋找的是用於獲取訪問權限的實際使用者名。
我可以看到 UID,它是“33”,但這對我沒有任何意義。如何將其與使用的使用者名匹配?
在您按照評論中的要求編輯您的文章之前,您已經包含了一個日誌條目,表明相關使用者的 UID 是“33”。如評論中所述,此 UID 通常用於 www-data 服務(Web 伺服器本身)。
您可能認為系統上的許多使用者使用 webmail,這可以解釋它,但實際上,這些使用者具有不同的 UID。如果您系統上 www-data 服務的 UID 為“33”,這可能表明您的使用者的一個虛擬主機空間中有一個腳本正在發送電子郵件。
既然您提到您已經將其範圍縮小到實際客戶的域,請嘗試查看他們可能正在使用的任何郵件發送腳本(即聯繫我們)——也許其中存在安全漏洞。此外,請仔細查看其 www 目錄及以下目錄中的文件,以了解黑客在其 FTP 帳戶遭到入侵時可能添加的任何內容。
另外,正如這裡所建議的,要找出負責發送這些郵件的腳本,您可以設置指令
mail.add_x_header = 開啟
在你的 php.ini 中。這將添加一個額外的郵件標題
X-PHP-原始腳本
然後檢查郵件隊列中相關郵件的郵件頭。
如果你發現他的賬號被盜了,並且黑客在www目錄中添加了腳本來利用郵件伺服器的郵件發送權限,請不要忘記檢查帳戶是如何被盜的,並在清理帳戶後關閉漏洞。