우리 서버에서 갑자기 수천 개의 메일을 보내는 알 수없는 코드 (바이러스?)가 있습니다. 해당 PHP 파일을 제거했다고 생각되지만 메일은 계속 발송됩니다.센드 메일을 사용하는 코드를 찾는 방법은 무엇입니까?
어떤 코드가 메일을 발송하고 있는지 어떻게 알 수 있습니까? 나는/var/log/maillog에서 포인터를 찾지 만 포인터는 찾지 않았다. 그것을 발견하는 다른 방법?
우리는 CentOS 배포판을 사용하고 있습니다.
악성 코드가 Wordpress DB에 있었고 관련 PHP 파일이 사이트가로드 될 때마다 헤더 PHP에 대한 호출과 함께 호출되었습니다. 우리는 사이트를 청소하고 새로 설치하여 문제를 해결했습니다. 나는 이미 crontab을 점검했고 감염된 코드는 없었습니다. 모든 포인터를 가져 주셔서 감사합니다.
해당 PHP 파일을 제거했다고해서 해당 파일이 시스템의 다른 곳에있는 사본을 만들지 못했다는 의미는 아닙니다. 이 이메일이 계속 전송된다고 말하면, 즉. 이것은 하나의 발생이 아니 었습니다. 그러면 스크립트가 어떻게 든 crontab 파일에 침투하여 주기적으로 호출 할 가능성이 있습니다.
시스템의 각 사용자 (루트 포함)에 대한 crontab 파일을보십시오. 스크립트를 검사하여 crontab이 무의미한 것으로 간주 되더라도 실행되고 있는지 확인하십시오.
또 다른 옵션은 특정 URL이 표시 될 때 특정 스크립트를 실행하는 .htaccess 파일이 될 것입니다. 이 방법으로 스크립트 실행을 쉽게 숨길 수 있습니다. ...
희망 하나 이러한 옵션의 이상이 이메일은에서 전송되는 위치에 대한 도움이 되거 것입니다 ... 당신에 대한 기록이없는 이상한 규칙에 대한 모든 .htaccess 파일을 검사
왜 PHP를 사용하여 메일을 보내고 있다고 생각합니까? 쉘 스크립트 나 다른 실행 파일을 말하는 것과는 대조적으로? – leftclickben
셸 스크립트 나 다른 실행 파일이이 파일을 보냈을 가능성이 있습니다. 그러나이 파일을 보았던 관리자는 우리 사이트 중 하나에 존재했던 악의적 인 PHP 파일을 삭제했다고 말했습니다. 그 이유는 정확히 어떤 코드가 메일을 발송하는지 알고 싶기 때문입니다. – Manish
이메일이 귀하의 서버로부터 발송 * 되었습니까? 누군가가 사람들에게 전자 메일을 보내고 단순히 서버를 발신자로 배치 할 수 있습니까? 당신은 당신이 당신의'maillog'에 "포인터"를 발견하지 못했다고 말했지만 실제로 보낸 이메일은 실제로 거기에 나타 납니까? – Lix