Esta questão é semelhante a
Como encontrar qual script no meu servidor está enviando e-mails de spam? , mas como não permite mais respostas (marcadas como duplicadas), estou respondendo aqui para fornecer algumas informações.
Resposta curta:
Altere o arquivo /etc/php.ini
ou /etc/php5/apache/php.ini
adicionando essas duas linhas:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
reinicie seu php5 or php5-fpm service and nginx/apache
service e, em seguida, verifique o arquivo /var/log/phpmail.log
para ver qual script teve o erro de acionamento e remova-o!
Longa Resposta:
Aqui está o escopo muito específico (minha solução não resolve outro cenário):
Estou executando o Ubuntu em um VPS e tive nginx, php5-fpm, and wordpress
instalado, e ele foi hackeado, e tenho certeza que foi WP hackeado e códigos de spam foram injetados.
Eu tentei as seguintes ações para corrigir; como o detector de malware do Linux usado; redefinir todas as credenciais de conexão com o banco de dados; e simplesmente navegar pelos olhos para remover códigos maliciosos.
Algumas ações que tomei são:
- redefinir todas as senhas do banco de dados
- faça login wp-admin, remova o usuário administrativo não intencional
- instala o wordfence para fazer defesa
Para o código-fonte:
- você pode fazer um diff com o código wordpress oficial com o seu e ver o que foi alterado
- pastas estranhas no diretório raiz do WP
- alguns arquivos terminados com * .suspected
- nomes de arquivos estranhos como
1346.php
, etc.
- grep
eval
de todos os seus arquivos para ver algo malicioso
- verifique qualquer arquivo
php
que tenha código ofuscado
Depois que eu fiz isso, eu também removi a permissão de execução de todos os arquivos, exceto o diretório:
%código%
ou consulte aqui: remova as permissões de execução de arquivos sem tocar na pasta
No entanto, ainda vejo muitos erros em chmod -x+X -R *
e /var/log/mail.err
, porque não configurei /varlog/syslog
ou sendmail
(é possível impedir que esses serviços exponham o erro de spam):
postfix
No entanto, ainda não sei onde estão os scripts de spam ... aqui ...
Após pesquisar várias horas, encontrei a solução acima mencionada em resposta curta , configure suas configurações de email em
postfix/sendmail[2422]: fatal: open /etc/postfix/main.cf: No such file or directory
e exponha a localização dos scripts.
Depois de remover esses scripts, não encontrei mais erros de spam e, até agora, meu servidor parece limpo.
Embora, como muitos sugeriram, você deve colocar esse servidor offline e fazer uma recriação ou redefinir para um status anterior, etc.
links de referência:
Como faço para lidar com um servidor comprometido?
link