我们有一些未知代码(病毒?)突然从我们的服务器发送数千封邮件,虽然我们认为我们已经删除了相应的恶意 PHP 文件,但邮件仍然被发送出去。
如何找出发送邮件的代码?我尝试在 /var/log/maillog 下查看,但那里没有指针。还有什么方法可以查出来吗?
我们使用的是 CentOS 发行版。
您删除了相应的 PHP 文件这一事实并不意味着该文件无法在您系统的其他位置复制自身。如果您说这些电子邮件是连续发送的,即。这不是一次发生,那么脚本可能以某种方式渗入了您的 crontab 文件并定期调用自身。
查看系统上每个用户(包括 root)的 crontab 文件。确保检查crontab 正在执行的任何脚本,无论它看起来多么无辜。
另一种选择是.htaccess
在显示特定 URL 时执行特定脚本的文件。以这种方式可以很容易地隐藏脚本的执行。检查所有.htaccess
文件中您没有记录的奇怪规则...
希望这些选项中的一个或多个能够阐明这些电子邮件是从哪里发送的……
恶意代码在 Wordpress DB 和相关的 PHP 文件中,每次加载网站时 - 都会通过调用头文件 PHP 来调用它。我们清理了站点并全新安装解决了问题。我已经检查了 crontab,那里没有受感染的代码。感谢所有的指点。