Я веду блог на wordpress. Недавно я получил от сервера жалобы на злоупотребления, которые после проверки вернули следующее:
============================================================
Received: from [192.241.188.154] by usfamily.net
(USFamily MTA v5/:PG5vcm1hX2NoYW1iZXJzQG1yaW5hbHB1cm9oaXQuY29tPjxkamtpbm5leUB1c2ZhbWlseS5uZXQ_)
with SMTP id <20140301115044001084500013> for <djkinney@usfamily.net>;
Sat, 01 Mar 2014 11:50:44 -0600 (CST)
(envelope-from norma_chambers@myblog.com, notifiable emailnetwork 192.241.188.)
Received: by myprimarydomain.com (Postfix, from userid 498)
id 1C5EE1305AE; Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
To: djkinney@usfamily.net
Subject: FW: Good day
X-PHP-Originating-Script: 498:sslnEn.php
From: "Norma Chambers" <norma_chambers@myblog.com>
Reply-To: "Norma Chambers" <norma_chambers@myblog.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Message-Id: <20140301171239.1C5EE1305AE@myblog.com>
Date: Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
Content-Transfer-Encoding: quoted-printable
<div>
<p>
Top Meds Website good deal <a href=3D"http://dumantarim.com/modules/mod_=
araticlhess/rlf.html">http://dumantarim.com/modules/mod_araticlhess/rlf.h=
tml</a>
</p>
</div>
============================================================
Теперь я предположил, что это означало следующее: с идентификатора norma_chambers@myblog.com было отправлено несколько нежелательных писем. Если мое предположение верно, этот идентификатор электронной почты должен был существовать на VPS, И пользователь имел доступ к учетной записи электронной почты для отправки писем. Означает ли это, что мой сервер (VPS) был взломан? На самом деле я не использую контактную форму в моем блоге как таковую, но это может быть вызвано каким-либо плагином и т. Д. ??? Точно сказать не могу :(
Я на правильном пути, чтобы отследить эту проблему? Пожалуйста, пролей немного света.
Вы не предоставили много информации, но похоже, что ваша установка WordPress была скомпрометирована, и скрипт рассылки спама был загружен и использован.
Адрес отправителя в электронном письме не обязательно означает, что учетная запись / адрес существует на вашем сервере, поскольку почти все заголовки электронной почты могут быть подделаны. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения скрипта злоумышленника - вы можете проверить /etc/passwd чтобы быть уверенным.
Подробный пост о том, как восстановиться после взлома, есть Вот. По крайней мере, вы должны остановить Apache на своем сервере и просканировать вашу установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.