![서버에서 보낸 인식할 수 없는 대량 이메일 [닫기]](https://linux55.com/image/82941/%EC%84%9C%EB%B2%84%EC%97%90%EC%84%9C%20%EB%B3%B4%EB%82%B8%20%EC%9D%B8%EC%8B%9D%ED%95%A0%20%EC%88%98%20%EC%97%86%EB%8A%94%20%EB%8C%80%EB%9F%89%20%EC%9D%B4%EB%A9%94%EC%9D%BC%20%5B%EB%8B%AB%EA%B8%B0%5D.png)
약간 딜레마에 빠졌는데 어떻게 해결해야 할지 모르겠습니다. 서버에서 이메일이 많이 들어있는 폴더를 찾았는데, 폴더를 살펴보니 그렇게 많은 이메일을 보내는 PHP 파일이 하나도 없었습니다.
SSH에 로그인하기 위해 지금까지 수행한 작업은 다음과 같습니다.
명령 실행
grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
그런 다음 명령을 실행합니다.
ls -lahtr /root/to/folder
하지만 대량 이메일을 보내는 스크립트는 표시되지 않으며 오늘 마지막으로 확인했을 때 "높음"이라고 표시되어 있으며 135,000으로 설정되어 있습니다.
앞으로 나아갈 방법에 대한 제안이 있으십니까?
답변1
사용
netstat -tnp
원격 서버의 포트 25와 통신하는 프로세스 PID를 찾습니다.
ps를 사용하고 /proc/PID/cmd 및 /proc/PID/exe를 살펴보세요.
wget 명령의 출력과 같은 이상한 출력이 있는지 서버 로그(예: Apache 오류 로그)를 확인하십시오.
PHP 또는 기타 CGI에는 수정해야 할 보안 허점이 있을 수 있습니다. 공유 서버인 경우 누군가 FTP 비밀번호가 취약할 수 있습니다.
업데이트: Linux에서는 프로세스를 시작한 다음 디렉터리에서 파일을 삭제할 수 있으므로 해당 파일이 더 이상 표시되지 않을 수 있다는 점을 언급하는 것을 잊었습니다. 사용하기 위해 메모리에서 실행 파일을 복사합니다.
cp /proc/PID/exe foo.exe
그러면 파일을 확인할 수 있습니다.
답변2
SMTP정책에 따라 누군가가 귀하의 서버를 사용하여 메일을 보내고 있을 수 있습니다 .
서버에서 서비스가 실행되고 있습니까 dovecot?courier