如何在伺服器上查找垃圾郵件發送腳本
在過去的 3 個月裡,我收到了來自託管服務提供商的電子郵件,說我的伺服器正在發送垃圾郵件,今天我對它進行了研究,發現它確實在這樣做。我使用 exim 查看情況,它使用命令顯示 28 的輸出
exim -bcp,然後我使用exim -bp並且還找到了 id 並使用了exim Mvh id. 我測試了所有的 ID,但它沒有提供腳本的來源。之後,我也嘗試檢查,exim/main.log但它沒有提供任何輸出。我已經使用防病毒軟體掃描了伺服器,但沒有發現任何東西。我也格式化了伺服器,但仍然沒有好處。如果您可以幫助檢測發送垃圾郵件的腳本,請告訴我。
執行
exim -bP log_file_path以獲取模板化的日誌文件路徑;替換%s為main, 並將其用作要查看的日誌文件。(也%D適用於日期等)。如果這確實指向main.log您查看的同一文件,請使用lsof,查看您是否破壞了日誌文件輪換或其他內容。如果該文件是目前日誌文件,文件系統未滿,消息在流動但日誌為空,那麼您的系統受到了威脅。看看消息是從哪裡來的。如果它們來自本地使用者,則該使用者正在註入郵件;如果那是網路託管使用者,那麼您需要找出哪個 PHP 應用程序已過時並讓垃圾郵件發送者濫用您。PHP 應用程序的商業濫用已經發生了至少 12 年。如果您有很多虛擬主機並且無法辨識來源,您可以將各種選項應用於您的網路伺服器和 PHP 配置以鎖定發件人地址。
如果消息來自遠端 IP 地址,請弄清楚你做了什麼把自己變成了一個開放的中繼。
如果出現了經過身份驗證的使用者,那麼他們的密碼很弱:不允許使用者為 SMTP 選擇密碼。使用您生成的強密碼,告訴使用者他們可以寫下來。考慮查看 Exim wiki 中的速率限制範例,以限制濫用 SMTP AUTH 嘗試的速率。
如果連接沒有經過身份驗證,只是遠端開放中繼,那麼問題取決於您自定義了多少 Exim 配置文件(執行
exim -bV以查找活動配置文件的路徑)。如果它與庫存相當接近,那麼您有一個hostlist名稱relay_from_hosts,並且您可能有太多的主機。把它鎖起來。