未知のコード (ウイルス?) がサーバーから何千ものメールを突然送信しています。対応する悪意のある PHP ファイルを削除したと思いますが、メールはまだ送信されています。
どのコードがメールを送信しているかを調べるにはどうすればよいですか? /var/log/maillog の下を調べてみましたが、ポインターはありません。それを見つける他の方法はありますか?
CentOSディストリビューションを使用しています。
対応するPHPファイルを削除したからといって、そのファイルがシステム上の他の場所に自分自身のコピーを作成できなかったわけではありません。あなたがこれらの電子メールが継続的に送信されていると言うなら、すなわち。これは1回の発生ではなかったため、スクリプトがcrontabファイルに何らかの形で侵入し、定期的に自分自身を呼び出している可能性があります。
システム上の各ユーザー(rootを含む)のcrontabファイルを確認してください。crontabが実行しているスクリプトは、どのように無害に見えても必ず検査してください。
別のオプションは.htaccess
、特定のURLが提示されたときに特定のスクリプトを実行するファイルです。この方法で、スクリプトの実行を簡単に隠すことができます。.htaccess
記録がない奇妙なルールがないか、すべてのファイルを調べます...
うまくいけば、これらのオプションの1つ以上が、これらの電子メールの送信元を明らかにするでしょう...
悪意のあるコードは、Wordpress DB と関連する PHP ファイルにあり、サイトが読み込まれるたびに、ヘッダー PHP の呼び出しで呼び出されました。サイトをクリーンアップし、新規インストールで問題を修正しました。既に crontab をチェックしましたが、そこには感染したコードはありませんでした。すべてのポインタをありがとう。