Sendmail과 ISPConfig를 패널로 실행하는 CentOS 서버가 있습니다. 최근 우리는 가짜 야후 계정에서 들어오는 트래픽이 엄청나게 증가한 것을 발견했습니다. 로그에는 짧은 시간에 수백 통의 이메일이 전송되는 것으로 표시됩니다.
스크립트를 분리하려고 노력하고 있지만 여러 사이트가 실행 중이고 어디를 먼저 봐야할지 모르겠습니다.
아이디어?
-- 결과가 없기 때문에 사람들이 모르거나 결코 쉽지 않을 것이라고 생각하거나 충분한 정보를 제공하지 않을 것이라고 가정합니다.
서버에서 '@yahoo' 등의 파일을 검색해 보았지만 외부 사이트나 파일에서 이메일 주소를 가져올 가능성이 있습니다. 외부 파일에 대한 참조를 쉽게 확인할 수 있습니까? 우리는 모든 작업에 내부 .js 파일을 사용하므로 파일이 너무 많아서는 안 됩니다.
아니면 다른 아이디어라도..
답변1
이메일을 보내는 것이 서버의 스크립트여야 한다고 생각하는 이유는 무엇입니까? 당신은 실행중인 컴퓨터에 sendmail이 있다고 언급했습니다. 아마도 그것이 오픈 릴레이로 작동하고 있거나 누군가가 실제 sendmail로 메일을 전달하는 다른 프로세스를 설정했을 수 있습니까?
먼저 호스트 오픈 릴레이 테스터를 확인하세요.http://www.abuse.net/relay.html
따라서 최소한 다음 체크리스트로 시작하겠습니다.
- sendmail이 오픈 릴레이로 작동하는지 확인
- 모든 메일을 보내기 위해 sendmail을 중지하고 대기열에 무엇이 들어오는지 확인하십시오. 원시 이메일 자체의 헤더가 몇 가지 단서를 제공할 수 있습니까?
- 열려 있는 포트를 확인하고 열려 있는 각 포트가 실행되어야 하는 애플리케이션에 해당하는지 확인하십시오.
- 서버에 이메일이 너무 많이 들어오는 동안 netstat 및 lsof에 무슨 일이 일어나고 있는지 확인하십시오.
답변2
스팸이 계속되는 동안 lsof를 실행하여 서버의 어떤 파일이 액세스되고 있는지 확인할 수 있습니다.
또한 스팸이 대기열에 있는 동안 메시지가 나가기 전에 메시지 내용을 살펴보고 해당 메시지가 어디에서 왔는지에 대한 단서를 제공하는지 확인하십시오. 예를 들어, 서버에서 호스팅되는 사이트 중 하나의 양식에서 가져온 경우 양식에 고유한 필드가 표시될 수 있으며, 그런 다음 사이트 파일에서 해당 필드를 가져올 수 있습니다.