我們有一個 CentOS 伺服器,運行 Sendmail 和 ISPConfig 作為面板。我們最近注意到來自虛假雅虎帳戶的流量大幅增加。日誌顯示短時間內發送了數百封電子郵件。
我們正在嘗試隔離該腳本,但我們有多個網站正在運行,並且不知道首先要查看哪裡。
有想法嗎?
——既然還沒有結果,我想要么人們不知道,這永遠不會容易,要么我沒有提供足夠的資訊。
我們嘗試在伺服器上的檔案中搜尋「@yahoo」和類似內容,但它有可能從外部網站或檔案取得電子郵件地址。我們可以輕鬆確定對外部文件的任何引用嗎?我們對所有內容都使用內部 .js 文件,因此不應有太多。
或任何其他想法..
答案1
為什麼您認為發送這些電子郵件一定是您伺服器上的腳本?您提到您的機器上正在運行sendmail - 也許它充當開放中繼,或者有人設置了另一個進程將郵件從它轉發到您真正的sendmail?
首先檢查您的主機開放中繼測試儀,也許:http://www.abuse.net/relay.html
所以,至少我會從這個檢查清單開始:
- 檢查 sendmail 是否充當開放中繼
- 停止 sendmail 發送所有郵件並檢查隊列中的內容 - 原始電子郵件本身的標頭可以提供一些線索嗎?
- 檢查您打開了哪些端口,並驗證您打開的每個端口是否與您知道應該運行的應用程式相對應。
- 當大量電子郵件進入您的伺服器時,請檢查 netstat 和 lsof 發生了什麼
答案2
您可以在垃圾郵件發生時執行 lsof 來查看伺服器上的哪些檔案正在被存取。
另外,當垃圾郵件在佇列中時,請嘗試在郵件發出之前查看郵件的內容,看看它是否提供了有關其來源的任何線索。例如,如果它來自伺服器上託管的網站之一上的表單,則它可能會顯示表單上的唯一字段,然後您可以從網站檔案中 grep 出該字段。