Назад | Перейти на главную страницу

При обнаружении файла выполняется sendmail: такого файла или каталога нет

Я установил сайт Wordpress и форум phpBB3 на одном хостинге (сайт в корне и phpBB3 в папке). Со вчерашнего дня работает очень медленно. Я обнаружил несколько дополнительных файлов и новые файлы, и я полагаю, что кто-то взломал мои Wp и phpBB. Я переустановил phpBB и теперь работает нормально. Я ожидаю переустановки Wordpress.

Я вижу в / var / logs / httpd / error_log следующее сообщение, повторяющееся каждую секунду: sh: / usr / sbin / sendmail: Нет такого файла или каталога

Как я могу узнать, какой файл пытается отправить электронное письмо? Как проверить наличие взломанных файлов?

Большое спасибо!

Я действительно рекомендую вам заново настроить сервер и изменить все пароли, это самый безопасный путь, который вы можете выбрать. Смена пароля является абсолютно обязательной, не используйте те же пароли в новой системе.

Я действительно не рекомендую использовать скомпрометированную систему, так как вы никогда не можете быть уверены, действительно ли вам удалось полностью очистить вашу систему. Если вы все еще хотите попробовать, вот что я могу сказать о вашей ситуации:

Очевидно, ваш веб-сервер Apache был скомпрометирован, и очень вероятно, что злоумышленник использовал WordPress или phpbb, особенно WordPress, как известно, является крупным вектором атаки. Теперь ваш веб-сервер выполняет по крайней мере один сценарий PHP, внедренный злоумышленником, который пытается «позвонить домой» через sendmail, который, по-видимому, не установлен, это то, что вас до сих пор спасло. Если ваш сервер настроен правильно, Apache и, следовательно, скрипт PHP не могут получить доступ или изменить что-либо существенное за пределами / var / www или любого другого каталога, который вы используете для хранения своих веб-страниц, поэтому существует очень небольшая вероятность того, что ничего кроме этого папка взломана. Я бы не стал на это ставить.

Что касается того, чтобы поймать этот сценарий: вы можете попробовать установить LogLevel debug в вашем httpd.conf, но PHP был известен отсутствием возможностей ведения журнала. Также существует вероятность того, что вы уже удалили сценарий при удалении неизвестных файлов, и что перезапуск приведет к удалению вредоносного кода. Но также может быть, что злоумышленник внедрил другой скрытый сценарий, который повторно загружает файлы после перезапуска службы, если они отсутствуют.

Короче говоря: будьте осторожны, переустановите сервер, измените все пароли и ключи и проверьте установленные плагины / моды WordPress / phpbb на наличие известных уязвимостей, чтобы предотвратить повторное заражение.