サーバーが破損しています。送信される内容はどのようにわかりますか?

サーバーが破損しています。送信される内容はどのようにわかりますか?

私の友人はいくつかの小規模企業を所有しており、専用ホスティングでWordPressベースのウェブサイトをホストしています。 WordPressのインストールがしばらく放置され、最終的にホストが破損しています。毎秒100個のスパムメールが送信されます。メッセージが生成された内容を確認するには何がありますか?

スパムを防ぐ唯一の方法はPostfixをオフにすることです。スパムを防ぐために数日間機能をオフにしましたが、これは会社のアドレスからメールを送信できないという意味でもあります。

ApacheとPostfixをオフにすると、netstatにSSHログイン以外にリモート接続がないと表示されます。その後、postfixを起動すると(Apacheは停止したままになります)、ポート25への100個のリモート接続がすぐに開きます。これにより、ホストの一部のプロセスがこれを実行しており、クリーンアッププロセス中に見逃したWordPress /一部の悪意のあるスクリプトを介して渡されたとは限りません。ここにもIRCボットがありましたが、私たちはそれを削除し、netstatはもはやIRCへの開いている接続を表示しません。

ps axjfを見ると、すべてのsmtpプロセスが親IDが1の/usr/libexec/postfix/masterにロールアップされます。これは実際にメッセージが生成された場所に関するアイデアを提供しません。

psとtopの両方が疑わしいプロセスを表示しません(私が知っている限り)。

メッセージが生成/送信される内容を確認するには、何を見ることができますか?役に立つ場合は、postfixを実行または実行せずにpswhatever_flags_you_wantの出力を公開できます。

ありがとうございます。

答え1

オペレーティングシステムを完全に消去して再インストールする必要があります。多くのものが変わることがあります。

答え2

返信ありがとうございます。 rkhunterをインストールして実行しましたが、何も見つかりませんでした。

初期クリーンアップでこの問題を処理したように見えますが、postfixはホストがブラックリストに上がった後に返送されたメールを再送信しようとしました。

/var/spool/postfix/deferred に何百ものメッセージが付いています。私の考えでは、postfixを起動すると、これらは再び./activeに移動して再送信しようとしているようです。私は./deferredと./activeのすべての内容を削除してpostfixを起動しました。新しいメッセージが生成または送信されていないように見えます。私はpostfixがどのように動作するのか理解していないようです。

走っていた

watch -d -n 1 'ls -lhart /var/spool/postfix/active'

そして

'netstat --program --numeric-hosts --numeric-ports --extend grep -E ":25|postfix|smtp"'をご覧ください。

約30分間、外出は見えませんでした。

関連情報