我们有一些未知的代码(病毒?)突然从我们的服务器发送了数千封邮件,虽然我们认为我们已经删除了相应的恶意PHP文件,但邮件仍然被发送出去。
如何找出发送邮件的代码?我尝试在/ var / log / maillog下查找但没有指针。找到它的任何其他方式?
我们正在使用CentOS发行版。
答案 0 :(得分:2)
您删除了相应的PHP文件并不意味着该文件无法在系统的其他位置创建自己的副本。如果你说这些电子邮件是连续发送的,即。这不是一次出现,那么脚本可能会以某种方式渗入您的crontab文件并定期调用自己。
查看系统上每个用户(包括root用户)的crontab文件。确保检查crontab正在执行的任何脚本,无论它看起来多么无辜。
另一个选项是在显示特定URL时执行某个脚本的.htaccess文件。人们可以通过这种方式轻松隐藏脚本的执行。检查所有.htaccess个文件是否有您没有记录的奇怪规则...
希望这些选项中的一个或多个能够阐明这些电子邮件的发送地点......
答案 1 :(得分:0)
每次网站加载时,恶意代码都在Wordpress数据库和相关的PHP文件中 - 通过调用标题PHP调用它。我们清理了网站,全新安装修复了问题。我已经检查过crontab,那里没有受感染的代码。感谢所有指针。