私の友人はいくつかの小規模企業を所有しており、専用ホスティングでWordPressベースのウェブサイトをホストしています。 WordPressのインストールがしばらく放置され、最終的にホストが破損しています。毎秒100個のスパムメールが送信されます。メッセージが生成された内容を確認するには何がありますか?
スパムを防ぐ唯一の方法はPostfixをオフにすることです。スパムを防ぐために数日間機能をオフにしましたが、これは会社のアドレスからメールを送信できないという意味でもあります。
ApacheとPostfixをオフにすると、netstatにSSHログイン以外にリモート接続がないと表示されます。その後、postfixを起動すると(Apacheは停止したままになります)、ポート25への100個のリモート接続がすぐに開きます。これにより、ホストの一部のプロセスがこれを実行しており、クリーンアッププロセス中に見逃したWordPress /一部の悪意のあるスクリプトを介して渡されたとは限りません。ここにもIRCボットがありましたが、私たちはそれを削除し、netstatはもはやIRCへの開いている接続を表示しません。
ps axjfを見ると、すべてのsmtpプロセスが親IDが1の/usr/libexec/postfix/masterにロールアップされます。これは実際にメッセージが生成された場所に関するアイデアを提供しません。
psとtopの両方が疑わしいプロセスを表示しません(私が知っている限り)。
メッセージが生成/送信される内容を確認するには、何を見ることができますか?役に立つ場合は、postfixを実行または実行せずにpswhatever_flags_you_wantの出力を公開できます。
ありがとうございます。
答え1
オペレーティングシステムを完全に消去して再インストールする必要があります。多くのものが変わることがあります。
答え2
返信ありがとうございます。 rkhunterをインストールして実行しましたが、何も見つかりませんでした。
初期クリーンアップでこの問題を処理したように見えますが、postfixはホストがブラックリストに上がった後に返送されたメールを再送信しようとしました。
/var/spool/postfix/deferred に何百ものメッセージが付いています。私の考えでは、postfixを起動すると、これらは再び./activeに移動して再送信しようとしているようです。私は./deferredと./activeのすべての内容を削除してpostfixを起動しました。新しいメッセージが生成または送信されていないように見えます。私はpostfixがどのように動作するのか理解していないようです。
走っていた
watch -d -n 1 'ls -lhart /var/spool/postfix/active'
そして
'netstat --program --numeric-hosts --numeric-ports --extend grep -E ":25|postfix|smtp"'をご覧ください。
約30分間、外出は見えませんでした。