HIM에 나열되었지만 설치되지 않은 Exim-서버 스팸 전송


0

그래서 Amazon에 Ubuntu 12.04 서버가 있습니다. 최근 스팸 이메일을 보내기 시작했습니다. 내가 proceess 목록을 보려고 멈 추면 거기에서 exim 프로세스를 볼 수 있지만 설치되지 않았습니다! 우리는 postfix를 사용하고 있습니다.

Htop 스크린 샷

내가 지금까지 시도한 것 :

  • 프로세스 종료 (즉시 다시 나타남)
  • 모든 것을 업그레이드하십시오 (apt-get update && apt-get upgrade)
  • 내 로그에서 X-PHP-Originating-Script를 활성화합니다 (그러나 로그에는 표시되지 않음)
  • 추신 : www-data 22612 0.4 0.1 35660 7152 ? Ss 09:24 0:01 exim
  • netstat -lp Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:smtp *:* LISTEN 28881/master
    tcp 0 0 *:27450 *:* LISTEN 5731/exim

도움을 주셔서 감사합니다 ... 검색을 시도했지만 아무것도 찾지 못했습니다.


다음은 iptables에 대한 내용입니다. Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp spt:27450 state ESTABLISHED Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp dpt:27450 state NEW,ESTABLISHED
Robert Robert

참고로, 웹 사이트가 손상 될 수 있으므로 웹 사이트를 새 서버에 다시 배포합니다.
Robert

답변:


-1

우선 iptables를 사용하여 exim을 차단하여 문제를 조사 할 때 스팸이 전송되지 않도록 할 수 있습니다.

iptables -A INPUT -p tcp --dport 5731 -j DROP

(이것은 방화벽의 VM에서 iptables를 실행한다고 가정합니다. 그렇지 않은 경우 실행중인 방화벽을 통해 트래픽을 차단해야합니다).

일반 보안 설치 루트킷 헌터의 경우 스캔을 구성하고 실행하십시오. VM이 손상되었을 수 있습니다.

패키지 버전이 오래되었으므로 소스에서 컴파일하기위한 가이드는 다음과 같습니다. https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an 우분투 vps


rkhunter는 아무것도 찾지 못했습니다. 나는 당신의 제안을 사용했으며 지금까지는 효과가있는 것처럼 보입니다. 문제가 오래된 WP 설치에 있다고 생각합니다. 그것을 명심하십시오. 내 원래 게시물의 해결책. 감사!
Robert

1

exim은 www-data로 실행되고 있으며 일반적으로 그렇지 않습니다. 서버가 일부 맬웨어에 의해 손상되었을 수 있습니다.

실제 바이너리에 대한 심볼릭 링크 인 / proc // exe를 보면 exim 프로세스에 대한 추가 정보를 얻을 수 있습니다. ps axjf를 사용하여 부모 프로세스를 가져올 수도 있습니다.

마지막 안전 백업에서 서버를 복원하는 것이 좋습니다.


그게 내 걱정이었다 ... 프로세스는 / usr / bin / perl로 연결된다
Robert

1

현재 실행 파일의 경로를 찾을 수 있습니다 /proc/<PID>/exe.이 링크는 심볼릭 링크입니다.

ls -l /proc/<PID> | grep exe

그러나 서버가 손상되었으므로 처음부터 다시 배포하는 것이 좋습니다.


그것은 펄 실행 파일에 연결됩니다 ...ls -l /proc/20098 | grep exe lrwxrwxrwx 1 www-data www-data 0 Dec 7 10:09 exe -> /usr/bin/perl
Robert

@Robert`cat / proc / <this proc id> / cmdline`을 실행하여 어떤 스크립트가 perl에서 실행되는지 봅니다. 그리고 프로세스 ID를 다시 확인하십시오-이미 변경되었을 수 있습니다.
Slipeer

제안에 감사드립니다. 이미 프로세스를 종료하고 IPTABLES를 사용하여 문제가되는 포트를 차단했습니다. 지금까지는 작동하는 것 같습니다. 문제가 다시 발생하면 귀하의 의견을 명심하겠습니다.
Robert

문제가 발생할 때까지 기다리지 마십시오. 서버를 다시 배포하거나 최소한 정리하십시오! 취약점이 남아 있으면 곧 다시 사용될 것입니다.
Slipeer

새 VM에 다시 배포하겠습니다. 이번 주말에 할 시간이 있기 때문에 지금은 이것을 정리해야했습니다.
Robert
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.