未知のコード (ウイルス?) がサーバーから何千ものメールを突然送信しています。対応する悪意のある PHP ファイルを削除したと思いますが、メールはまだ送信されています。
どのコードがメールを送信しているかを調べるにはどうすればよいですか? /var/log/maillog の下を調べてみましたが、ポインターはありません。それを見つける他の方法はありますか?
CentOSディストリビューションを使用しています。
質問する
1153 次
2 に答える
2
対応するPHPファイルを削除したからといって、そのファイルがシステム上の他の場所に自分自身のコピーを作成できなかったわけではありません。あなたがこれらの電子メールが継続的に送信されていると言うなら、すなわち。これは1回の発生ではなかったため、スクリプトがcrontabファイルに何らかの形で侵入し、定期的に自分自身を呼び出している可能性があります。
システム上の各ユーザー(rootを含む)のcrontabファイルを確認してください。crontabが実行しているスクリプトは、どのように無害に見えても必ず検査してください。
別のオプションは.htaccess、特定のURLが提示されたときに特定のスクリプトを実行するファイルです。この方法で、スクリプトの実行を簡単に隠すことができます。.htaccess記録がない奇妙なルールがないか、すべてのファイルを調べます...
うまくいけば、これらのオプションの1つ以上が、これらの電子メールの送信元を明らかにするでしょう...
于 2013-02-11T10:54:59.203 に答える
0
悪意のあるコードは、Wordpress DB と関連する PHP ファイルにあり、サイトが読み込まれるたびに、ヘッダー PHP の呼び出しで呼び出されました。サイトをクリーンアップし、新規インストールで問題を修正しました。既に crontab をチェックしましたが、そこには感染したコードはありませんでした。すべてのポインタをありがとう。
于 2013-03-13T09:18:34.837 に答える