Отправка почты и сужение скрипта

Я использую очень старый сервер Ubuntu, который был некоторое время назад почтовый сервер, который был заражен. К сожалению, на этом сервере работает веб-страница. Какой-то скрипт / страница / вредоносная программа пытается отправить много спама - я знаю, потому что /var/spool/postfix / maildrop заполняется довольно быстро.

Я думал, что изменение php5 / cli / php.ini sendmail_path к чему-то недопустимому остановит это. К сожалению это не так (я перезагрузил Апач). Сервер настолько стар, что даже надо не работает. (потребность обновление ядра + пакетов, чего не произойдет).

есть ли способ сузить основную проблему? Есть ли способ проверить, какой файл пытается отправить спам, чтобы я мог его удалить?

29
задан RJFalconer
11.02.2023 22:08 Количество просмотров материала 3445
Распечатать страницу

2 ответа

Я подозреваю, что это не почтовый сервер, который заражен. У вас может быть spambot, работающий на сервере и отправляющий электронную почту напрямую. Если спам не записан в ваших журналах электронной почты, то это-вероятно случай.

следующие правила таблиц IP будут блокировать спам-ботов и программы, работающие как другие идентификаторы пользователей от отправки электронной почты. 

iptables -A OUTPUT --dport 25 -m owner --uid-owner XX -j ACCEPT  # Where XX is the UID of the Email server
iptables -A OUTPUT --dport 25 -j LOG  --log-level 6 --log-prefix "Outgoing SMTP blocked:"
iptables -S OUTPUT --dport 25 -j DROP

вы можете запустить команду netstat от имени root несколько раз, чтобы увидеть, какие программы отправляют сообщения. Я бы использовал команду что-то вроде:

netstat -antp | grep :25

важно держать в актуальном состоянии. С помощью LTS можно выполнять обновление версии каждые 2 года, а обычный цикл выпуска-каждые 6 месяцев. Пакет, как unattended-upgrades может применять обновления по мере их появления.

1
отвечен BillThor 2023-02-13 05:56

благодаря помощи @BillThor-большое спасибо, и несколько подобный вопрос здесь у суперпользователя мне удается сделать это:

1) Отключить ввод и вывод порта 25 (smtp)

iptables -A OUTPUT -p tcp --dport 25 -j DROP
iptables -A OUTPUT -p tcp --dport 25 -j LOG  --log-level 6 --log-prefix "SMTP BLOCK:"
iptables -A INPUT -p tcp --dport 25 -j DROP

2) Отключите любую службу imap / courier / pop / smtp на сервере (это был старый почтовый сервер, теперь нет смысла их иметь)

3) скачиваю maldetect который мгновенно показал мне проблемные файлы, такие как img23141243.РНР.jpg или img1321312.РНР.файл GIF

после очистки этой старой учетной записи веб-сервера нет подключения apache2: 25 anywere. Отслеживал это с помощью loging любого исходящего activite на порту 25, и с 

netstat -antp | grep :25

4) К сожалению, LMD не нашел все вредоносные программы на сервере, но я использовал Статьи HowToForge о том, как перенаправить команду sendmail на внешний скрипт, который будет регистрировать каждую попытку отправки почты, путь к папке с зараженным файлом. благодаря этому я нашел язык SQL.PHP, который был заражен.

0
отвечен Michal Sapsa 2023-02-13 08:13

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх