Enviando e-mails e limitando o script faz isso

Navegue suas respostas
0

Estou usando um servidor Ubuntu muito antigo que há algum tempo era um servidor de e-mail infectado. Infelizmente, há uma página da Web em execução nesse servidor. Algum script / página / malware está tentando enviar um monte de spam - eu sei porque o / var / spool / postfix / maildrop está sendo preenchido rapidamente.

Eu estava pensando que mudar o sendmail_path do php5 / cli / php.ini para algo não válido pararia isso. Infelizmente não (eu recarreguei o Apache). O servidor é tão antigo que até mesmo o iotop não está funcionando. (precisa de upgrade de pacotes do kernel +, o que não vai acontecer).

Existe alguma maneira de reduzir o problema principal aqui? Existe uma maneira de verificar qual arquivo está tentando enviar spam para que eu possa excluí-lo?

    
por Michal Sapsa 15.07.2014 / 14:54

2 respostas

1

Eu suspeito que não é o seu servidor de e-mail que está infectado. Você pode ter um spambot em execução no servidor e enviar e-mail diretamente. Se o spam não estiver registrado nos seus registros de e-mail, provavelmente esse é o caso.

As seguintes regras de tabelas IP bloquearão spambots e programas em execução, à medida que outros userids enviarem email. 

iptables -A OUTPUT --dport 25 -m owner --uid-owner XX -j ACCEPT  # Where XX is the UID of the Email server
iptables -A OUTPUT --dport 25 -j LOG  --log-level 6 --log-prefix "Outgoing SMTP blocked:"
iptables -S OUTPUT --dport 25 -j DROP

Você pode querer executar um comando netstat como root algumas vezes para ver quais programas estão enviando mensagens. Eu usaria um comando como: 

netstat -antp | grep :25

É importante manter sua distribuição atualizada. Usando o LTS, você pode fazer uma atualização de versão a cada 2 anos, e o ciclo de lançamento normal é a cada 6 meses. Um pacote como unattended-upgrades pode aplicar atualizações assim que estiverem disponíveis.

    
por 15.07.2014 / 15:34
0

Obrigado pela ajuda do @BillThor - muito obrigado, e poucas perguntas semelhantes aqui no superusuário eu consegui fazer isso:

1) Desabilite entrada e saída da porta 25 (smtp) 

iptables -A OUTPUT -p tcp --dport 25 -j DROP
iptables -A OUTPUT -p tcp --dport 25 -j LOG  --log-level 6 --log-prefix "SMTP BLOCK:"
iptables -A INPUT -p tcp --dport 25 -j DROP

2) Desabilite qualquer serviço imap / courier / pop / smtp no servidor (era servidor de e-mail antigo, agora não é tão necessário tê-los)

3) Eu baixei maldetect que instantaneamente me mostrou arquivos problemáticos como img23141243.php.jpg ou img1321312.php.gif

Depois de limpar essa conta antiga do servidor da web, não há conexão do apache2 em: 25 anywere. Foi monitorando isso com a ajuda de registrar qualquer atividade de saída na porta 25 e com 

netstat -antp | grep :25

4) infelizmente o LMD não encontrou todos os malwares no servidor, mas eu usei o artigo HowToForge sobre como redirecionar o comando sendmail para script externo que irá registrar todas as tentativas de envio de e-mails, que caminho de log para a pasta do arquivo infectado. graças a isso eu encontrei sql.php que estava infectado.

    
por 16.07.2014 / 13:49

Tags

Recuperar o número da linha da célula clicada no Excel [closed] Adiciona uma conta de rede ao grupo local com o Puppet?