Итак, у меня есть сервер Ubuntu 12.04 на Amazon. Недавно он начал рассылать спам по электронной почте. Когда я делаю htop, чтобы увидеть список процессов, я вижу там процесс exim, но он НЕ установлен! Мы используем постфикс.
Что я пробовал до сих пор:
www-data 22612 0.4 0.1 35660 7152 ? Ss 09:24 0:01 exim
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:smtp *:* LISTEN 28881/master
tcp 0 0 *:27450 *:* LISTEN 5731/eximЛюбая помощь приветствуется ... Я пробовал искать, но ничего не нашел.
Вы можете найти путь к текущему исполняемому файлу, посмотрите /proc/<PID>/exe, который является символической ссылкой на него.
ls -l /proc/<PID> | grep exe
Но поскольку ваш сервер был скомпрометирован - лучше заново развернуть его с нуля.
exim работает как www-data, чего обычно не должно быть. Ваш сервер, вероятно, был взломан каким-то вредоносным ПО.
Вы можете получить дополнительную информацию о процессе exim, просмотрев / proc // exe, который является символической ссылкой на фактический двоичный файл. Вы также можете использовать ps axjf для получения родительского процесса.
Я предлагаю вам восстановить ваш сервер из последней безопасной резервной копии.
Для начала вы можете заблокировать exim с помощью iptables, чтобы предотвратить рассылку спама, пока вы исследуете проблему.
iptables -A INPUT -p tcp --dport 5731 -j DROP
(Предполагается, что вы запускаете iptables на виртуальной машине для своего брандмауэра. Если нет, вам следует проверить блокировку трафика через любой брандмауэр, который вы используете).
В целях общей безопасности установите rootkithunter, настройте и запустите сканирование. Вы можете обнаружить, что ваша виртуальная машина была взломана.
Вот руководство по компиляции из исходного кода, так как упакованные версии устарели: https://www.digitalocean.com/community/tutorials/how-to-use-rkhunter-to-guard-against-rootkits-on-an-ubuntu-vps