【愿意付费】救急 网安电话勒令处理否则封IP

shanghupan

昨天网安（据说是公安的）电话机房通知我，我在移动机房的一台linux redhat 2.6.9上面有有个邮箱一直往外发色情邮件，勒令马上处理，否则封ip。

目前服务器上面就一个Java Web应用，mysql+apache+tomcat架构。不做技术快8年了，本来linux也不熟，今天匆忙度娘了一些文档，急求下面几个问题的方案或者提示，感谢！

1、怎么确保不能从这个服务器发邮件出去，以前好像部署了一个邮件服务器，不过早就不用了，也不知道服务器上到底是什么邮件服务器。怎么确定是什么邮件服务器，并且删

除掉，至少关闭。我今天先把里面的sendmail删除了，也去看25端口的侦听进程，好像也没有可疑的邮件服务器；用ps全部进程，好像也没有可疑的（可能是我不认识）；

2、今天早上网安又来了封邮件：绿盟科技"远程安全评估系统"安全评估报告，结果好像满严重，主要是远程执行命令、php和apache的问题，如附件。我也查了一些linux安全策略文档，问下怎么做可以快速弥补报告中列出的中高风险。

服务器是07年装好放到机房就没动过的，各种设置肯定很老了，打算这次要好好完善下，被网安封了就惨了，很急，感谢任何建议！

chenyx

你在服务器iptables规则里面,OUTPUT链禁止下dport 25的包,如果还不行,将sport 25的包也drop.
测试下.

chenyx

你的服务器不是没用到php吗,怎么还扫描到php漏洞了呢,奇怪

vermouth

lsof -i:25 看看跑得什么么，或者 ps aux 看都跑了些什么进程

shanghupan

回复 2# chenyx
非常感谢，忙到现在才来看，我等会试下

   

unix5188

如果没有邮件进程的话，那么就是利用php来发的，可以使用iptables把25的端口在出网卡的时候给封杀了。

shanghupan

chenyx 发表于 2012-12-27 18:33
你的服务器不是没用到php吗,怎么还扫描到php漏洞了呢,奇怪

嗯，明天具体查下，是否linux默认安装了php，即对php应用的支持？还是服务器被攻破成了肉鸡，别人安装了php？对linux很生疏，现在是一边看文档一边试验，现学现用了，只求网安那边先别管我这台服务器

shanghupan

vermouth 发表于 2012-12-27 18:56
lsof -i:25 看看跑得什么么，或者 ps aux 看都跑了些什么进程

版主都来，非常感谢，有点受宠若惊

这两个命令的结果截屏如附件，其中lsof执行后没啥结果

shanghupan

Hongqiyaodao 发表于 2012-12-27 22:50
觉得好奇怪啊！

他再找你 你问问他 买个绿盟的设备会不会解决问题啊？！

哥们，不是的，可能我表达不清楚，是网安（其实就是公安局的）电话通知我的机房代理商，说**ip有垃圾邮件发出，发出的邮箱是**，限时解决问题，否则网安那边封ip了。这个问题很严重，网安封ip一个是很难恢复，一个是根本没有余地，如果是机房那边封ip，可以找关系通融下，网安这边就直接拨网线，并且联系不上网安的，只有他来联系你。那个绿盟的报告是今天早上发来的，机房代理说以前也就通知**IP有垃圾邮件，从来没有这个报告过来的，今天发过来好像对我特别关照，需要尽快解决，我还在忐忑，ip被封问题就大了，业务就停了，唉。那个绿盟应该是是公安局的供应商，采购了绿盟的产品，用来监测网络的