Qmail被黑经历

王朝other·作者佚名  2008-05-31
宽屏版  字体: |||超大  

这次是被人偷了一个email账号,利用这个帐号乱发垃圾邮件,导致queue很快被塞满

一.现象:

信件发送后,要等一天才能收到,或者根本收不到

后来发现qmail的queue邮件队列巨长,主要是mess,info,remote三个目录

# du -d1 /usr/local/qmail/queue/

2 /usr/local/qmail/queue/pid

2 /usr/local/qmail/queue/intd

2 /usr/local/qmail/queue/todo

2 /usr/local/qmail/queue/bounce

219660 /usr/local/qmail/queue/mess

217660 /usr/local/qmail/queue/info

64 /usr/local/qmail/queue/local

217500 /usr/local/qmail/queue/remote

4 /usr/local/qmail/queue/lock

65560 /usr/local/qmail/queue/

二.找出入侵者:

1.先看日志,注意带有"new msg","info msg"的信息行:

#more /var/log/maillog

...

Apr 3 11:49:03 www qmail: 1049341743.532642 new msg 297872------记住这个队列号,查找这个队列号的邮件

Apr 3 11:49:03 www qmail: 1049341743.533064 info msg 297872: bytes 893 from STEFANI_102150_XP@TRIPOD.COMqp 16985 uid 1038

Apr 3 11:49:03 www qmail: 1049341743.706272 new msg 298223

Apr 3 11:49:03 www qmail: 1049341743.706691 info msg 298223: bytes 881 from THURMAN_102150_XP@YAHOO.COMqp 16986 uid 1038

...

2.然后看看那家伙是从哪里登录的:

#find /usr/local/qmail/queue/ -name 297872

/usr/local/qmail/queue/mess/22/297872

/usr/local/qmail/queue/info/22/297872

/usr/local/qmail/queue/remote/22/297872

#more /usr/local/qmail/queue/mess/22/297872

Received: from unknown (HELO smtp0251.mail.yahoo.com) (210.21.6.44)------这就是入侵者的ip地址

From: "jenypher "LENNY_102150_XP@YAHOO.COM

X-Priority: 3

To: sesto@altavista.net

Subject: Enlarge your PENIS and improve your SEX Life!

Mime-Version: 1.0

Content-Type: text/html; charset=us-ascii

Content-Transfer-Encoding: base64

三.找出被入侵的账号:

通过lastauth文件,查找在210.21.6.44上登录的用户

因为有很多用户,所以我写了个脚本来找被黑的用户

#!/bin/sh

#set -x

echo "" maillastauth.txt

ls -d1 /home/vpopmail/domains/bsd.com/*/ mailusers.txt-----------输出所有用户的email路径

for MAILUSERS in `cat mailusers.txt`

do

more ${MAILUSERS}lastauth maillastauth.txt--------------------输出所有用户的lastauth文件

echo $MAILUSERS maillastauth.txt------------------------------以及对应的用户

done

more maillastauth.txt | grep 210.21.6.44----------------------------输出在210.21.6.44上登录的用户

四.找到那个被黑的账号了,赶快修改密码,重新启动服务器(多此一举,呵呵~,只是自己感觉心里踏实一点)

因为那家伙乱发邮件,所以postmaster收到很多MAILER-DAEMON@bsd.com的文件,删除这些垃圾

/home/vpopmail/domains/bsd.com/postmaster/Maildir/cur/*

/home/vpopmail/domains/bsd.com/postmaster/Maildir/new/*

如果你的postmaster用户有其他的重要文件,可不要这么做

还要看看你的queue邮件队列是不是在减少,如果还在继续增加,那完蛋了,估计系统账号都被黑了

五.昨天还干了点愚蠢的事情,因为看到queue里的文件很多,所以直接删除了queue队列里的文件,事实上这些文件是不能删除的

否则就会出现类似"unable to stat mess/22/176892"这样的错误

#more /var/log/maillog

...

Apr 1 18:07:41 www qmail: 1049191661.303612 warning: unable to stat mess/22/176892

Apr 1 18:07:41 www qmail: 1049191661.303972 warning: unable to stat mess/16/346258

Apr 1 18:07:41 www qmail: 1049191661.304059 warning: unable to stat mess/9/33773

Apr 1 18:07:41 www qmail: 1049191661.304139 warning: unable to stat mess/2/190258

...

如果不小心,删除了queue队列里的文件,可以从qmail.org上下载qmail-fix来修复这个错误

=================================================

、看队列中的邮件可以用

#mailq

2、如果你要删除队列中的邮件,你可以看下面的提示,由于我这里没有环境,没法帮你确认可行性???

处理队列中的邮件:

A)如想在队列中的邮件马上传递,可以

#kill –HUP qmail-send

B)如果要删除队列中的邮件

1) 停止QMAIL

2) find /var/qmail/queue/$i -type f -exec rm {} ;

3) 重启QMAIL.

队列中的邮件包含在以下目录中 /var/qmail/queue/{info,mess,remote,local}/hash/#number

,

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
© 2005- 王朝网络 版权所有