Как остановить рассылку спама на сервер. Centos сервер с exim

Question

Как остановить рассылку спама на сервер. Centos сервер с exim

Я смотрю на сервер, который, похоже, был скомпрометирован из-за ошибки в плагине WordPress и теперь рассылает спам.

Этот пост, кажется, дает очень хороший отчет о том, что я вижу.

Итак, я предпринял эти шаги...

перечислить пользователей, работающих в crontab.

for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done | more

Бинго, множество скриптов для моего ПОЛЬЗОВАТЕЛЯ, которые выглядят подозрительно. В этом списке много этой строчки..

* * * * * /home/tart/public_html/wp-includes/SimplePie/Content/1.sh

Поэтому я редактирую crontab для этого пользователя и удаляю их.

crontab -u tart -e

Теперь я запускаю это, чтобы увидеть, отправляется ли span

tail -n 10 /var/log/exim_mainlog -F

ARRGH, он все еще жив.

Хорошо, позвольте мне посмотреть на ТОП

30596 root      20   0 71728 5864 3680 S  0.3  0.1   0:00.01 exim
30602 root      20   0 71728 5864 3680 S  0.3  0.1   0:00.01 exim
30608 root      20   0 71724 5860 3680 S  0.3  0.1   0:00.01 exim
30609 mailnull  20   0 71736 5244 3088 D  0.3  0.1   0:00.01 exim

Сейчас я не работаю с почтой на этом сервере, а только с веб-сервера. Так что exim не используется мной.

Итак, позвольте мне остановить exim.

/etc/init.d/exim status

/etc/init.d/exim stop

/etc/init.d/exim status

exim сейчас сообщит как остановился

Поэтому я снова проверяю журнал (tail -n 10 /var/log/exim_mainlog -F)

Материал все еще появляется в журнале.

Позвольте мне проверить статус снова...

/etc/init.d/exim status
exim (pid 3169 3159) is running...

ARGGG.

Также я вижу множество спам-сообщений в очереди на выход.... exim -bp

Итак, мой вопрос заключается в следующем.

Как мне это остановить?!?

У меня есть панель "WHM Accelerated2", и когда я проверяю "Диспетчер служб", я вижу, что "почтовый сервер exim" и "почтовый сервер exim (но другой порт)" отключены.

Примечание: это "стандарт CENTOS 6.5 x86_64 - ds-71494 WHM 11.46.0 (сборка 17)"

Дополнительная информация:

Это список заданий cron для root.

root
0 6 * * * /usr/local/cpanel/scripts/exim_tidydb > /dev/null 2>&1
30 5 * * * /usr/local/cpanel/scripts/optimize_eximstats > /dev/null 2>&1
2,58 * * * * /usr/local/bandmin/bandmin
0 0 * * * /usr/local/bandmin/ipaddrmap
53 22 * * * /usr/local/cpanel/scripts/upcp --cron
0 1 * * * /usr/local/cpanel/scripts/cpbackup
0 2 * * * /usr/local/cpanel/bin/backup
35 * * * * /usr/bin/test -x /usr/local/cpanel/bin/tail-check && /usr/local/cpanel/bin/tail-check
45 */4 * * * /usr/bin/test -x /usr/local/cpanel/scripts/update_mailman_cache && /usr/local/cpanel/scripts/update_mailman_cache
30 */4 * * * /usr/bin/test -x /usr/local/cpanel/scripts/update_db_cache && /usr/local/cpanel/scripts/update_db_cache
45 */8 * * * /usr/bin/test -x /usr/local/cpanel/bin/optimizefs && /usr/local/cpanel/bin/optimizefs
30 */2 * * * /usr/local/cpanel/bin/mysqluserstore >/dev/null 2>&1
15 */2 * * * /usr/local/cpanel/bin/dbindex >/dev/null 2>&1
15 */6 * * * /usr/local/cpanel/scripts/autorepair recoverymgmt >/dev/null 2>&1
*/5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
23 22 * * * /usr/local/cpanel/whostmgr/docroot/cgi/cpaddons_report.pl --notify
5,20,35,50 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1

ОБНОВИТЬ

Я на 98% уверен, что знаю, как произошла атака, и на 98% уверен, что дыра, которую они использовали, закрыта. (Я не могу быть уверен, что другой дыры не существует, хотя)

Перевести его в автономный режим: это не так просто, так как это хост-сервер.

Перестройте: да, дайте мне несколько дней, чтобы разобраться в этом, но сейчас я хочу остановить спам и немного понять, как активируется exim.

Меня беспокоит то, что exim работает от имени пользователя root (как показано вверху). Мой пароль root я изменил вчера вечером, и был / имеет формат 123$£!23#asd2" (не простой пароль)

Глядя на исходящий счет, я вижу...

root@ds-111110 [~]# grep '<=' /var/log/exim_mainlog | awk '{print $5}' | grep \@
   5227 tart@ds-11110.com
 619519 root@ds-11110.com

Таким образом, кажется, что root является основным виновником спама, что снова заставляет меня беспокоиться.

Также обратите внимание, что на этом сервере нет данных о клиентах / конфиденциальных данных, что упрощает перестройку.

0

centos spam exim

Источник

jeff porter 26 ноя '14 в 20:04

1 ответ

Другие вопросы по тегам centos spam exim

Zoredache 26 ноя '14 в 20:24 2014-11-26 20:24 · Answer 1 · 2014-11-26 20:24

Хотя я очень твердо убежден, что вам следует уничтожить любую восстановленную систему, вот некоторая информация для устранения этого признака.

В системе *nix обычно ваш агент передачи почты (MTA) включает двоичный файл, который эмулирует интерфейс sendmail. Любая программа в вашей системе может вызвать это, чтобы добавить доставить сообщение. Остановка демона MTA не мешает этому двоичному файлу принимать сообщения, и в зависимости от MTA этот двоичный файл даже доставит сообщение в Интернет без запуска демона MTA.

Некоторые программы также могут устанавливать исходящие соединения tcp/25, полностью минуя MTA.

В вашем случае вполне вероятно, что ваши скрипты просто вызывают sendmail. Остановка демона не делает ничего полезного для остановки электронной почты. Простым временным решением может быть добавление правил iptables, которые полностью блокируют выходные соединения tcp/25, tcp/465, tcp/587. Это хорошо известные порты SMTP. Вы также можете изменить разрешения на /usr/sbin/sendmailи сделайте так, чтобы он не выполнялся (chmod 0644 /usr/sbin/sendmail).

Это не решение вашей проблемы, это просто временный плагин, пока вы делаете окончательное резервное копирование и собираете любые данные, прежде чем перестраивать свою систему.

Вам нужно найти фактический корень вашей проблемы, и вам нужно это исправить.