Mac 服务器感染垃圾邮件代理
Dmi*_*try 1 email spam blacklist malware agent
我们遇到了巨大的麻烦:( .. 我们的 mac 服务器发送垃圾邮件。我们的 IP 已经在大约十几台服务器中列入黑名单(通过http://mxtoolbox.com/检查)。我们在同一网络中还有另一台计算机,包括PC. 我已经做过和发现的:
- 我在“服务器管理应用程序”->邮件->维护->邮件队列(附图)中发现了垃圾邮件。
- 我设法从/var/spool/postfix/文件夹中获得了其中一封电子邮件。这是链接 - 简单的 HTML 文件(http://www.sendspace.com/file/wbyjov)。
- 我在服务器上使用ClamXav搜索恶意软件- 没有任何帮助
- 我用防病毒软件重新检查了 PC 计算机 - 没有任何帮助
此外,这些电子邮件出现在“邮件队列”中的事实意味着 Mac OS 服务器自己发送它们,对吗?或者同一网络中的另一台计算机是否有可能发送它们?
在此先感谢您的回答!!!!
* 添加了服务器日志的两个截图:SMTP 日志和 IMAP 日志 *
* 添加了访问日志的截图。我确信此时根本不应该使用“fitkit.medicine”帐户。这是否意味着某些恶意软件入侵了服务器上的多个帐户?*
小智 5
postfix 消息队列中的垃圾邮件可能意味着很多事情:
您的邮件服务器充当开放中继。开放中继意味着您的服务器正在接受来自 Internet 上任何客户端的消息,并将其转发。垃圾邮件发送者会迅速发现开放中继并迅速将其列入黑名单。要查看您的邮件服务器是否充当开放中继,您可以使用以下站点:
http://www.unlocktheinbox.com/openrelaytest/
有关 OS X 服务器和开放中继的讨论,另请参阅:
https://discussions.apple.com/message/8036841#8036841
查看来自 postfix 消息队列的消息,我看到客户端地址(提交电子邮件进行传送的 SMTP 客户端的 IP 地址)在 31.129.xxx.xxx IP 范围内。如果此 IP 范围属于您,则它在您的网络中。
您的网络中有一台机器已被入侵,现在充当垃圾邮件的僵尸网络客户端。在这种情况下,您需要确定发送所有这些消息的是哪台 PC,然后关闭该计算机。因为客户端的IP地址是公网IP,我猜不是这样。
有人入侵了您邮件服务器上的帐户(如果您需要 SMTP 身份验证)并使用该帐户发送邮件。从您附加的消息中,我看到垃圾邮件机器人正在使用身份验证(sasl_username=test, sasl_method=LOGIN)。您是否有机会在此服务器上拥有一个没有密码的“测试”帐户?如果是这样,请为其设置密码或禁用该帐户。
| 归档时间: |
|
| 查看次数: |
1536 次 |
| 最近记录: |