- 论坛徽章:
- 0
|
前两天Exchang服务器被黑了一次,这两天Qmail又被黑了
真是奇怪,知道我水平不行,故意黑我,不过终于还是让我搞定了
非常感谢gadfly和各位兄弟的帮助,kiss~kiss~kiss~kiss~kiss~kiss~
我说说被黑的经过,如果哪位兄弟不小心也被黑了,希望有点帮助
#-----------------------------------------------------------------
这次是被人偷了一个email账号,利用这个帐号乱发垃圾邮件,导致queue很快被塞满
一.现象:
信件发送后,要等一天才能收到,或者根本收不到
后来发现qmail的queue邮件队列巨长,主要是mess,info,remote三个目录
# du -d1 /usr/local/qmail/queue/
2 /usr/local/qmail/queue/pid
2 /usr/local/qmail/queue/intd
2 /usr/local/qmail/queue/todo
2 /usr/local/qmail/queue/bounce
219660 /usr/local/qmail/queue/mess
217660 /usr/local/qmail/queue/info
64 /usr/local/qmail/queue/local
217500 /usr/local/qmail/queue/remote
4 /usr/local/qmail/queue/lock
65560 /usr/local/qmail/queue/
二.找出入侵者:
因为正常情况下,不会有那么多信的,有人不停的乱发信,随便找几个队列瞧瞧就知道是谁发的了
1.先看日志,注意带有"new msg","info msg"的信息行:
#more /var/log/maillog
...
Apr 3 11:49:03 www qmail: 1049341743.532642 new msg 297872------记住这个队列号,查找这个队列号的邮件
Apr 3 11:49:03 www qmail: 1049341743.533064 info msg 297872: bytes 893 from <stefani_102150_xp@tripod.com>; qp 16985 uid 1038
Apr 3 11:49:03 www qmail: 1049341743.706272 new msg 298223
Apr 3 11:49:03 www qmail: 1049341743.706691 info msg 298223: bytes 881 from <thurman_102150_xp@yahoo.com>; qp 16986 uid 1038
...
2.然后看看那家伙是从哪里登录的:
#find /usr/local/qmail/queue/ -name 297872
/usr/local/qmail/queue/mess/22/297872
/usr/local/qmail/queue/info/22/297872
/usr/local/qmail/queue/remote/22/297872
#more /usr/local/qmail/queue/mess/22/297872
Received: from unknown (HELO smtp0251.mail.yahoo.com) (210.21.6.44)------这就是入侵者的ip地址
From: "jenypher "<lenny_102150_xp@yahoo.com>;
X-Priority: 3
To: sesto@altavista.net
Subject: Enlarge your PENIS and improve your SEX Life!
Mime-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: base64
三.找出被入侵的账号:
通过lastauth文件,查找在210.21.6.44上登录的用户
因为有很多用户,所以我写了个脚本来找被黑的用户
#!/bin/sh
#set -x
echo "" >; maillastauth.txt
ls -d1 /home/vpopmail/domains/bsd.com/*/ >; mailusers.txt-----------输出所有用户的email路径
for MAILUSERS in `cat mailusers.txt`
do
more ${MAILUSERS}lastauth >;>; maillastauth.txt--------------------输出所有用户的lastauth文件
echo $MAILUSERS >;>; maillastauth.txt------------------------------以及对应的用户
done
more maillastauth.txt | grep 210.21.6.44----------------------------输出在210.21.6.44上登录的用户
四.找到那个被黑的账号了,赶快修改密码,重新启动服务器(多此一举,呵呵~,只是自己感觉心里踏实一点)
因为那家伙乱发邮件,所以postmaster收到很多MAILER-DAEMON@bsd.com的文件,删除这些垃圾
/home/vpopmail/domains/bsd.com/postmaster/Maildir/cur/*
/home/vpopmail/domains/bsd.com/postmaster/Maildir/new/*
如果你的postmaster用户有其他的重要文件,可不要这么做
还要看看你的queue邮件队列是不是在减少,如果还在继续增加,那完蛋了,估计系统账号都被黑了
五.昨天还干了点愚蠢的事情,因为看到queue里的文件很多,所以直接删除了queue队列里的文件,事实上这些文件是不能删除的
否则就会出现类似"unable to stat mess/22/176892"这样的错误
#more /var/log/maillog
...
Apr 1 18:07:41 www qmail: 1049191661.303612 warning: unable to stat mess/22/176892
Apr 1 18:07:41 www qmail: 1049191661.303972 warning: unable to stat mess/16/346258
Apr 1 18:07:41 www qmail: 1049191661.304059 warning: unable to stat mess/9/33773
Apr 1 18:07:41 www qmail: 1049191661.304139 warning: unable to stat mess/2/190258
...
如果不小心,删除了queue队列里的文件,可以从qmail.org上下载qmail-fix来修复这个错误 |
|