grandes montagens de e-mails enviados do servidor incapazes de identificar [fechado]

Navegue suas respostas
1

Eu tenho um pouco de dilema, não sei como resolver. Eu encontrei vindo de uma pasta no meu servidor enormes quantidades de e-mails, mas quando eu olho na pasta, nenhum arquivo php está enviando essa quantidade de e-mails.

aqui está o que eu fiz até agora logado no SSH

comando de execução 

  grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Eu então executo o comando 

  ls -lahtr /root/to/folder

mas não mostrava nenhum script que estava enviando grandes quantidades de e-mails, quando eu digo alto na última vez que um dia de hoje foi definido como 135.000.

alguma sugestão sobre como avançar?

    
por user2513528 06.02.2016 / 04:38

2 respostas

1

Use 

netstat -tnp

para encontrar o PID do processo que está falando com a porta 25 em servidores remotos.

Use ps e veja / proc / PID / cmd e / proc / PID / exe.

Verifique os logs do servidor (por exemplo, o log de erros do apache) para uma saída estranha como a de um comando wget.

Provavelmente, um PHP ou outro CGI tem uma falha de segurança que precisa ser corrigida. Se este for um servidor compartilhado, possivelmente alguém tem uma senha de FTP fraca.

Atualização: esqueci de mencionar que no Linux um processo pode ser iniciado e, em seguida, o arquivo é excluído do diretório para que você não veja mais o arquivo. Para copiar o executável da memória use 

cp /proc/PID/exe foo.exe

Depois, você pode examinar o arquivo.

    
por 06.02.2016 / 04:59
0

Provavelmente, alguém está usando seu SMTP server para enviar e-mails porque suas políticas permitem isso.

Você tem dovecot ou courier serviços em execução no seu servidor?

    
por 06.02.2016 / 09:00

Tags

erros de interceptação em scripts bash Os túneis SSH forçam um novo túnel e matam a sessão antiga