Um servidor linux que eu gerencio está enviando centenas de mensagens de spam de uma conta de usuário específica a cada 5 minutos.
Encontrei, dentro da conta do usuário (que executa o Wordpress), alguns scripts de exploração PHP. Um deles foi o conta-gotas Meyhem.
No entanto, não consigo encontrar sinais no sistema de que os droppers tenham comprometido o sistema. Os arquivos que eles referenciam não existem, não há processos de "host" em execução, nada no crontab, nenhuma escuta incomum ou conexões na porta 80, etc. Eu passei por todos os processos em execução e não vi nada incomum (pode ter perdido alguma coisa).
No entanto, o único sinal de um problema é que o sistema envia uma tonelada de mensagens a cada cinco minutos, usando o mesmo nome de usuário "de". (o nome de usuário do usuário comprometido mencionado acima).
Eu posso monitorar / var / log / maillog e a cada 5 minutos essas mensagens caem na fila.
Eu não consigo descobrir como dizer qual processo está fazendo isso. Eu parei o httpd, o crond, o atd e desabilitei o site do cliente para que nada estivesse atingindo os arquivos PHP maliciosos. Eu também renomeiei os arquivos PHP. Ainda assim, a cada 5 minutos, o arquivo de log mostra outro carregamento de mensagens desse usuário que está sendo enviado.
Alguém por favor pode me apontar na direção certa para encontrar este exploit / malware / etc?
Se houver uma maneira de assistir a todos os processos recém-gerados, posso ver qual deles aparece no momento em que o spam é excluído. Alguma idéia?
Trecho de maillog:
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C4BF3206075: from=<username@xyz.[domain name here].net>, size=1199, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C0421227061: from=<username@xyz.[domain name here].net>, size=1222, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C05082060C7: from=<username@xyz.[domain name here].net>, size=1180, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BA6D922629A: from=<username@xyz.[domain name here].net>, size=1232, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC58A226B0F: from=<username@xyz.[domain name here].net>, size=1224, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BB1C6227574: from=<username@xyz.[domain name here].net>, size=1216, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: B896B226EB3: from=<username@xyz.[domain name here].net>, size=1194, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC7532266B8: from=<username@xyz.[domain name here].net>, size=1186, nrcpt=1 (queue active)