Назад | Перейти на главную страницу

Сервер Zimbra скомпрометирован - как расследовать

У нас есть почтовый сервер Zimbra, и одна из учетных записей электронной почты была взломана. Проблема в том, что с этого сервера рассылается много спама, и мы не можем определить, какая учетная запись взломана.

В mailq мы можем видеть только отправленное письмо, но это поддельный адрес электронной почты.

Есть ли способ определить настоящего пользователя аутентификации, который отправляет эти электронные письма?

Вы можете использовать журналы grep для таких отправителей, как

grep sasl_username /var/log/maillog

или используйте этот скрипт для отображения сводной статистики

#!/usr/bin/python2
from __future__ import print_function

import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')

senders = {}

for line in open('/var/log/maillog'):
    m = re_sasl.search(line.strip())
    if m:
        username = m.group(1)
        if username in senders:
            senders[username] += 1
        else:
            senders[username] = 1

print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
    print("\t{0:5d} {1}".format(count, username))

Используйте эту команду, чтобы получить данные о взломанной учетной записи

cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n