Servidor comprometido - Como descubro o que está enviando e-mail

Navegue suas respostas
2

Um amigo meu tem algumas pequenas empresas e hospeda sites baseados no Wordpress em um host dedicado. As instalações do Wordpress foram negligenciadas por algum tempo e o host acabou sendo comprometido. Agora há centenas de mensagens de spam saindo a cada segundo. O que posso ver para determinar o que está gerando o e-mail?

A única maneira de fazer o spam parar é desligar o Postfix. Ficamos sem alguns dias para evitar spam, mas isso também significa que ele não pode enviar e-mails de seus endereços comerciais.

Se eu desligar o apache e o postfix, o netstat não mostrará conexões remotas, exceto meu login SSH. Se eu iniciar o postfix (mas deixar o apache parado), 100 conexões remotas para a porta 25 serão abertas imediatamente. Isso me leva a acreditar que algum processo no host está fazendo isso, em vez de algo vindo através do Wordpress / algum script falso que perdemos na limpeza. Havia também bots de IRC aqui, mas nós os removemos, e o netstat não mostra mais nenhuma conexão aberta com o IRC.

Quando eu olho para ps axjf - todos os processos smtp são transferidos para / usr / libexec / postfix / master, que tem um id pai de 1. Isso não me dá uma idéia de onde o email está sendo gerado.

Nem o ps nem o top mostram nenhum processo suspeito (até onde eu sei).

O que mais eu posso ver para ver o que está criando / enviando o e-mail? Eu posso postar a saída de ps whatever_flags_you_want tanto com e sem postfix em execução, se isso vai ajudar.

Obrigado.

    
por pata 15.02.2015 / 22:56

2 respostas

0

Obrigado pelas respostas a todos. Nós instalamos e rodamos o rkhunter, ele não encontrou nada.

Parece que realmente cuidamos disso na limpeza inicial, mas o postfix estava tentando reenviar mensagens que foram devolvidas depois que o host foi colocado na lista negra.

Havia centenas de milhares de mensagens presas em / var / spool / postfix / deferred. Eu acho que quando eu comecei o postfix, estava movendo aqueles de volta para ./active e tentando reenviar. Acabei de apagar tudo em ./deferred e ./active, em seguida, iniciei o postfix. Não parece que novas mensagens estejam sendo criadas ou enviadas. Eu estou pensando que isso foi só eu não entendendo como funciona o postfix.

Estou correndo

watch -d -n 1 'ls -lhart / var / spool / postfix / ativo'

e

watch 'netstat --program --numeric-hosts --numeric-ports --extend | grep -E ": 25 | postfix | smtp" '

Por cerca de 30 minutos e não ver atividade de saída.

    
por 16.02.2015 / 00:59
1

Você precisará acabar com o sistema operacional e reinstalar. Tantas coisas poderiam ter sido alteradas.

    
por 15.02.2015 / 23:24

Tags

Como determinar tamanhos “nativos” para fontes de bitmap? Por que o paralelismo não funciona usando '{}' mas '-'? [duplicado]