新足迹 › 论坛 › 兴趣爱好区 › IT与科技 › IT专业论坛 › 我的VPS又被黑了么，中毒中木马了？老是往外发spam ema ...

精华好帖回顾
· 迟来得《败犬女王》心情随笔 (2009-7-7) aitingwang	· PeterWei找工记(IT)--有个interviewQ&A文件在46楼供参考:) (2005-5-9) PeterWay
· 2018秋日本行鸟羽伊势松阪胜浦那智熊野古道高野山奈良大阪京都全文完 (2018-11-4) violinlearner	· 征文（第二篇哦）－难忘一刻之伤心时分 (2005-1-28) DreamRedMansion

查看: 6075|回复: 24

我的VPS又被黑了么，中毒中木马了？老是往外发spam email [复制链接]

eguan88

水晶靴族

发表于 2016-9-28 22:09 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

这是Centos后台Postfix显示，难道有人侵入我的VPS了，老是往外发spam而且有人report我的VPS hosting公司。

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？注册

eguan88

水晶靴族

发表于 2016-9-28 22:14 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

如何查看哪里出了问题，或者哪个程序在乱发email.

Fernando

金靴族

发表于 2016-9-29 02:00 |显示全部楼层

此文章由 Fernando 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 Fernando 所有！转贴必须注明作者、出处和本声明，并保持内容完整

为什么是又呢

postfix 应该有自己的log
Linux下面一条命令就能发邮件，也许只是一个shell 脚本在发。看看有什么异常的cron job，不熟悉的 service在运行吧。真伪装得好应该看不出来，试试看给postfix 设置白名单。

like hell

eguan88

水晶靴族

发表于 2016-9-29 09:08 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

信件内容是这样的，居然是从我的VPS发出，怎么找源头？

Warning: [obfuscated](): Requires argument 2, 'TagsWorker', to be a valid callback in /usr/local/cwpsrv/htdocs/resources/admin/addons/mail_explorer_addon.php on line 0
HELLO Friend,

I am Major-General Abdul Razak, Head of Air Force Libya; I got your e-mail address from the investment list worldwide, I want to invest my money 11.5 Million Euros in your Country i need partnership from you, I have in Security Company 11.5 Million Euros for the investment project. I secure this money from my oil deal.

The business must remain TOP SECRET between both of us only, It is for my security purpose as a TOP MILITARY PERSONAL, and I assure you 100% risky free in this business, all I need is your honest full support and effort, then I will be very glad to accept you as my business partner, I need to act fast their is no time to delay because of the current war crisis in my country Libya.

I offer you 30% of the total funds worth 11.5 Million Euro, after all investment is completed by you, kindly reply me back with this e-mail address: generalabdulrazak@gmail.com

Am looking forward to receive your reply soonest.

BEST REGARDS
Major-General Abdul Razak

fnever

木屐族

发表于 2016-9-29 09:10 |显示全部楼层

此文章由 fnever 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 fnever 所有！转贴必须注明作者、出处和本声明，并保持内容完整

看起来是网站程序的插件漏洞，

kr2000

白金靴族

发表于 2016-9-30 10:46 |显示全部楼层

此文章由 kr2000 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 kr2000 所有！转贴必须注明作者、出处和本声明，并保持内容完整

网站被黑了
先把发邮件的程序删除，然后检查可以上传文件的代码，修改权限，限制上传类型。
如果是楼上说的问题，赶快更新第三方的插件

mright

木屐族

发表于 2016-9-30 11:51 来自手机 |显示全部楼层

此文章由 mright 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 mright 所有！转贴必须注明作者、出处和本声明，并保持内容完整

你用什么控制面板？

eguan88

水晶靴族

发表于 2016-9-30 13:36 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

kr2000 发表于 2016-9-30 09:46
网站被黑了
先把发邮件的程序删除，然后检查可以上传文件的代码，修改权限，限制上传类型。
如果是楼上说 ...

求怎么在Linux里看发垃圾邮件的程序是哪一个。

eguan88

水晶靴族

发表于 2016-9-30 13:37 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

mright 发表于 2016-9-30 10:51
你用什么控制面板？

CentOS Web Panel

http://centos-webpanel.com/

purplechilli

木屐族

发表于 2016-9-30 15:04 |显示全部楼层

此文章由 purplechilli 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 purplechilli 所有！转贴必须注明作者、出处和本声明，并保持内容完整

眼镜兄还是发几个妹子拉拉人气吧，很多程序猿马上就浮出来帮忙啦

你这个是自己用的，还是上面有其他用户？

你这个服务器用的是POSTFIX，一般来说，你可以：

1. 限制SMTP只listen localhost
2. 加一个SMTP认证（用户名，密码）
3. 改前台程序，使用步骤2里设置的用户名，密码

eguan88

水晶靴族

发表于 2016-9-30 15:19 来自手机 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

purplechilli 发表于 2016-9-30 14:04
眼镜兄还是发几个妹子拉拉人气吧，很多程序猿马上就浮出来帮忙啦

你这个是自己用的，还是上面有其 ...

就我自己用哈，我现在总结要么漏洞要么被黑

eguan88

水晶靴族

发表于 2016-9-30 15:23 来自手机 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

这个Abdul Razak将军太坏了，给receiver 3M,却一分不给我这个sender

purplechilli

木屐族

发表于 2016-9-30 15:32 |显示全部楼层

eguan88 发表于 2016-9-30 14:19
就我自己用哈，我现在总结要么漏洞要么被黑

眼镜兄赶快贴妹子啊！！要不没动力回帖了啊！！！

你装的啥WEB软件？

kr2000

白金靴族

发表于 2016-9-30 15:37 |显示全部楼层

此文章由 kr2000 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 kr2000 所有！转贴必须注明作者、出处和本声明，并保持内容完整

eguan88 发表于 2016-9-30 12:36
求怎么在Linux里看发垃圾邮件的程序是哪一个。

你这个问题极大的可能性是一个常用的open source的工具或其中一个插件有上传附件的漏洞

最简单就是在源码里搜索邮件内容的片段，比如将军的名字。不过如果对方是个加密的文件，那就比较麻烦了。

这个漏洞很危险，发发邮件事小，有的黑客程序可以浏览修改你系统里所有允许www-data可读／写的文件

评分

参与人数 1	积分 +5	收起理由
eguan88	+ 5	感谢分享

查看全部评分

50个behaviour面试问题，答案以及问的原因

eguan88

水晶靴族

发表于 2016-9-30 16:12 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

purplechilli 发表于 2016-9-30 14:32
眼镜兄赶快贴妹子啊！！要不没动力回帖了啊！！！

你装的啥WEB软件？

啥叫Web软件。是web manager吗？

purplechilli

木屐族

发表于 2016-9-30 16:40 |显示全部楼层

eguan88 发表于 2016-9-30 14:19
就我自己用哈，我现在总结要么漏洞要么被黑

哇撒太给力啦！！

他们有个文档，写了怎么找出哪个账号被使用在SPAM拉，试试？

http://wiki.centos-webpanel.com/ ... -issue-with-postfix

mright

木屐族

发表于 2016-9-30 17:15 来自手机 |显示全部楼层

此文章由 mright 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 mright 所有！转贴必须注明作者、出处和本声明，并保持内容完整

eguan88 发表于 2016-9-30 12:37
CentOS Web Panel

http://centos-webpanel.com/

以前我用过一个免费的控制面板，就出现类似情况。可以考虑换个面板

eguan88

水晶靴族

发表于 2016-10-16 22:02 |显示全部楼层

此文章由 eguan88 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 eguan88 所有！转贴必须注明作者、出处和本声明，并保持内容完整

1. Install Linux Malware Detect for Centos

Install Linux Malware Detect from the official website. At the time of writing, the current version is maldetect-1.5

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xvf maldetect-current.tar.gz
cd maldetect-1.5
./install.sh
Once the installation finishes, Linux Malware Detect will automatically create a daily cronjob task.

2. Configure Linux Malware Detect

All configuration settings of Linux Malware Detect are stored in the file /usr/local/maldetect/conf.maldet. Configure the following subset of options:

email_alert=1
email_addr=youremail@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
clam_av=1
For the values below, 1=true and 0=false.

email_alert=1: If you want to receive notifications via email.
email_addr=youremail@localhost: Enter your email address.
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)" : Email subject of the notification.
quar_hits=1: Move the malware to quarantine.
quar_clean=1: Delete any malware detected.
clamav_scan=1: Use ClamAV's malware library to scan.
3. Install ClamAV

Installing ClamAV helps Linux Malware Detect to scan processes faster and more effectively. First, we need to install the EPEL repo:

yum install epel-release
Then, we install ClamAV with the following command:

yum update && yum install clamd
4. How To Use Linux Malware Detect

After finishing the installation process, you are able to use Linux Malware Detect to scan for malware.

To scan a folder, use this command:

maldet --scan-all /home/domain.com/public_html
If you only want to scan some specified file types (.php for example), you can use the following command:

maldet --scan-all /home/domain.com/public_html/*.php
To view a scanning report, use the following command. Replace 14715-1421.3219 with the scan ID.

maldet --report 14715-1421.3219
You can update Linux Malware Detect by running:

maldet -u
To delete all quarantined files:

rm -rf /usr/local/maldetect/quarantine/*

虎

木屐族

发表于 2016-10-17 18:47 |显示全部楼层

此文章由虎原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者虎所有！转贴必须注明作者、出处和本声明，并保持内容完整

第一步，先从自己machine telnet到vps port 25，看是不是能连上，能的话就表怪spammer了，自己赶紧disable access

pureboy

头像被屏蔽

禁止发言

发表于 2016-11-7 14:46 |显示全部楼层

此文章由 pureboy 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 pureboy 所有！转贴必须注明作者、出处和本声明，并保持内容完整

我的经验是你应该DISABLE SMTP REPLAY,启动POSTSCREEN做一下限制，再就是看一下哪里来的SPAMMIING的IP地址，在LINUX防火墙BLCOK SPＡＭＭＩＮＧ IP.
看一下你的配置文件 /etc/postfix/main.cf /etc/postfix/master.cf在网上找一下相应的防SPAMMING的配置，修改一下你的配置文件，重新启动你的POSTFIX,

关键是要经常看一下你的LOG文件，及时堵塞SPAMMING。