Очередь Plesk Qmail взрывается от возможной атаки через веб-форму

Question

Очередь Plesk Qmail взрывается от возможной атаки через веб-форму

Очередь qmail на моем сервере (на котором запущен Plesk на CentOS 5.2) раздувает до 120000 сообщений в очереди за ночь. Сообщения в очереди, очевидно, являются спамом.

Я удалил их за последний день с помощью qmHandle, но не могу определить, как они все еще отправляются. Адрес электронной почты, с которого они отправляются, даже был добавлен в файл qmail badmailfrom (и я проверял через Telnet, что он действительно блокирует электронную почту с этого адреса), но электронные письма продолжают поступать.

Я почти уверен, что атака использует веб-форму с одного из доменов, размещенных на сервере. Я вполне уверен, что смогу найти способ обезопасить форму, если бы смог определить, какая она есть. Вопрос в том, как определить, из какой формы приходят электронные письма?

1

email hacking queue exploit

Источник

ChiCgi 05 июн '12 в 17:04

1 ответ

Другие вопросы по тегам email hacking queue exploit

ChiCgi 06 июн '12 в 14:40 2012-06-06 14:40 · Answer 1 · 2012-06-06 14:40

Вот решение! Каждая часть спам-сообщения будет иметь идентификатор в заголовках, показывающий, какая учетная запись на сервере используется для отправки электронных писем. Я смог увидеть заголовки писем в очереди qmail, посмотрев в Plesk (8.6.0) в Сервер> Почта> Очередь почты. Когда я нажал на эту тему, в первой строке я увидел что-то вроде:

qmail 11850 invoked by uid 10059

Uid 10059 идентифицирует пользователя на сервере, который вызвал qmail. Чтобы увидеть, какой это пользователь, войдите на свой сервер как пользователь root и выполните следующую команду из терминала:

grep 10059 /etc/passwd

Это будет искать файл passwd на вашем сервере для строки 10059 и вернет полученный текст.

После того, как я узнал, кто это был, я смог отключить доступ к оболочке, добавить CAPTCHA ко всем веб-формам на сайте, а также изменить FTP и другие связанные пароли. Это помогло мне остановить спаммера, который получил контроль.