내 친구는 여러 소규모 기업을 소유하고 있으며 전용 호스팅에서 WordPress 기반 웹사이트를 호스팅하고 있습니다. WordPress 설치가 한동안 방치되었고 결국 호스트가 손상되었습니다. 이제 매초 100개의 스팸 이메일이 발송됩니다. 메시지가 생성된 내용을 확인하려면 무엇을 찾을 수 있습니까?
스팸을 막는 유일한 방법은 Postfix를 끄는 것입니다. 스팸을 방지하기 위해 며칠 동안 기능을 꺼두었지만, 이는 또한 회사 주소에서 메일을 보낼 수 없다는 의미이기도 합니다.
Apache와 Postfix를 끄면 netstat에 SSH 로그인 외에는 원격 연결이 없다고 표시됩니다. 그런 다음 postfix를 시작하면(아파치는 중지된 채로 둡니다) 포트 25에 대한 100개의 원격 연결이 즉시 열립니다. 이로 인해 호스트의 일부 프로세스가 이 작업을 수행하고 있으며 정리 프로세스 중에 놓친 WordPress/일부 악성 스크립트를 통해 전달된 것이 아니라고 믿게 됩니다. 여기에도 IRC 봇이 있었지만 우리는 이를 제거했고 netstat는 더 이상 IRC에 대한 열려 있는 연결을 표시하지 않습니다.
ps axjf를 보면 모든 smtp 프로세스가 상위 ID가 1인 /usr/libexec/postfix/master로 롤업됩니다. 이는 실제로 메시지가 생성된 위치에 대한 아이디어를 제공하지 않습니다.
ps와 top 모두 의심스러운 프로세스를 표시하지 않습니다(내가 아는 한).
메시지가 생성/전송되는 내용을 확인하려면 또 무엇을 볼 수 있나요? 도움이 된다면 postfix를 실행하거나 실행하지 않고 pswhatever_flags_you_want의 출력을 게시할 수 있습니다.
감사해요.
답변1
운영 체제를 완전히 지우고 다시 설치해야 합니다. 많은 것들이 바뀔 수 있습니다.
답변2
답장을 보내주셔서 감사합니다. rkhunter를 설치하고 실행했지만 아무것도 찾지 못했습니다.
초기 정리에서 이 문제를 처리한 것처럼 보이지만 postfix는 호스트가 블랙리스트에 오른 후 반송된 메일을 다시 보내려고 했습니다.
/var/spool/postfix/deferred에 수백 개의 메시지가 붙어 있습니다. 내 생각엔 postfix를 시작하면 이것들이 다시 ./active로 이동하고 다시 보내려고 시도하는 것 같습니다. 방금 ./deferred 및 ./active의 모든 내용을 삭제하고 postfix를 시작했습니다. 새 메시지가 생성되거나 전송되지 않은 것으로 나타납니다. 나는 postfix가 어떻게 작동하는지 이해하지 못하는 것 같습니다.
나는 달리고 있었다
watch -d -n 1 'ls -lhart /var/spool/postfix/active'
그리고
'netstat --program --numeric-hosts --numeric-ports --extend grep -E ":25|postfix|smtp"'를 시청하세요.
약 30분 동안 아무런 외출도 보이지 않았습니다.