![サーバーから送信された認識できない一括メール[閉じる]](https://linux33.com/image/82941/%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%8B%E3%82%89%E9%80%81%E4%BF%A1%E3%81%95%E3%82%8C%E3%81%9F%E8%AA%8D%E8%AD%98%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84%E4%B8%80%E6%8B%AC%E3%83%A1%E3%83%BC%E3%83%AB%5B%E9%96%89%E3%81%98%E3%82%8B%5D.png)
ちょっとジレンマになってしまったのですが、どうやって解決すべきかわかりません。私はサーバー上の多くの電子メールを含むフォルダを見つけましたが、フォルダを見てみると、そのような多くの電子メールを送信するPHPファイルはありませんでした。
SSHにログインするためにこれまでに行ったことは次のとおりです。
コマンドの実行
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
その後、コマンドを実行します。
ls -lahtr /root/to/folder
ただし、一括メールを送信するスクリプトは表示されず、今日最後に確認したときに「高」と表示され、135,000に設定されています。
これから進む方法の提案がありますか?
答え1
使用
netstat -tnp
リモートサーバーのポート25と通信するプロセスPIDを見つけます。
psを使って/proc/PID/cmdと/proc/PID/exeを見てください。
wgetコマンドの出力などの奇妙な出力があるかどうか、サーバーログ(Apacheエラーログなど)を確認してください。
PHPまたは他のCGIには、修正する必要があるセキュリティホールがあります。共有サーバーの場合、誰かがFTPパスワードを受けやすい可能性があります。
アップデート:Linuxでは、プロセスを起動してディレクトリからファイルを削除できるため、そのファイルが表示されなくなる可能性があることに注意してください。使用するためにメモリから実行可能ファイルをコピーします。
cp /proc/PID/exe foo.exe
これでファイルを確認できます。
答え2
SMTPポリシーによっては、誰かがサーバーを使用してメールを送信している可能性があります。
サーバーでサービスが実行されていますかdovecot?courier