На этот вопрос уже есть ответ здесь:
Я веду блог на wordpress. Недавно я получил жалобу на злоупотребления с сервера, который после проверки вернул следующее:
============================================================
Received: from [192.241.188.154] by usfamily.net
(USFamily MTA v5/:PG5vcm1hX2NoYW1iZXJzQG1yaW5hbHB1cm9oaXQuY29tPjxkamtpbm5leUB1c2ZhbWlseS5uZXQ_)
with SMTP id <20140301115044001084500013> for <djkinney@usfamily.net>;
Sat, 01 Mar 2014 11:50:44 -0600 (CST)
(envelope-from norma_chambers@myblog.com, notifiable emailnetwork 192.241.188.)
Received: by myprimarydomain.com (Postfix, from userid 498)
id 1C5EE1305AE; Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
To: djkinney@usfamily.net
Subject: FW: Good day
X-PHP-Originating-Script: 498:sslnEn.php
From: "Norma Chambers" <norma_chambers@myblog.com>
Reply-To: "Norma Chambers" <norma_chambers@myblog.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Message-Id: <20140301171239.1C5EE1305AE@myblog.com>
Date: Sat, 1 Mar 2014 17:12:39 +0000 (UTC)
Content-Transfer-Encoding: quoted-printable
<div>
<p>
Top Meds Website good deal <a href=3D"http://dumantarim.com/modules/mod_=
araticlhess/rlf.html">http://dumantarim.com/modules/mod_araticlhess/rlf.h=
tml</a>
</p>
</div>
============================================================
Теперь я предположил, что это означало следующее: Несколько нежелательных писем были отправлены с идентификатора (скрыто) Если мое предположение верно, это электронное письмо id должен был существовать на VPS, И пользователь имел доступ к учетной записи электронной почты для отправки писем. Означает ли это, что мой сервер (VPS) был взломан? На самом деле я не использую контактную форму в моем блоге как таковую, но это может быть вызвано каким-либо плагином и т. Д. ??? Не уверен: (
Нахожусь ли я на правильном пути, чтобы отследить эту проблему? Пожалуйста, прольте свет.
У вас нет Он предоставил много информации, но похоже, что ваша установка WordPress была скомпрометирована и был загружен и использован сценарий рассылки спама.
Адрес «от» в электронном письме не обязательно означает, что учетная запись / адрес существует на ваш сервер, так как почти все заголовки писем могут быть подделаны. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения сценария злоумышленника - вы можете проверить / etc / passwd
, чтобы быть уверенным.
A подробный пост о том, как восстановиться после взлома, находится здесь . По крайней мере, вы должны остановить Apache на своем сервере, просканировать свою установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.
но похоже, что ваша установка WordPress была скомпрометирована и был загружен и использован сценарий рассылки спама. Адрес "от" в электронном письме не обязательно означает, что учетная запись / адрес существует на вашем сервере, поскольку почти все заголовки электронных писем можно подделать. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения сценария злоумышленника - вы можете проверить / etc / passwd
, чтобы быть уверенным.
A подробный пост о том, как восстановиться после взлома, находится здесь . По крайней мере, вы должны остановить Apache на своем сервере, просканировать свою установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.
но похоже, что ваша установка WordPress была скомпрометирована и был загружен и использован сценарий рассылки спама. Адрес "от" в электронном письме не обязательно означает, что учетная запись / адрес существует на вашем сервере, поскольку почти все заголовки электронных писем можно подделать. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения сценария злоумышленника - вы можете проверить / etc / passwd
, чтобы быть уверенным.
A подробный пост о том, как восстановиться после взлома, находится здесь . По крайней мере, вы должны остановить Apache на своем сервере, просканировать свою установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.
поскольку почти все заголовки писем могут быть подделаны. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения сценария злоумышленника - вы можете проверить / etc / passwd
, чтобы быть уверенным.
A подробный пост о том, как восстановиться после взлома, находится здесь . По крайней мере, вы должны остановить Apache на своем сервере, просканировать свою установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.
поскольку почти все заголовки писем могут быть подделаны. Скорее всего, это идентификатор пользователя вашего веб-сервера, который был пользователем системы, который использовался для выполнения сценария злоумышленника - вы можете проверить / etc / passwd
, чтобы быть уверенным.
A подробный пост о том, как восстановиться после взлома, находится здесь . По крайней мере, вы должны остановить Apache на своем сервере, просканировать свою установку WordPress на предмет подозрительных сбоев и изменить пароли своей учетной записи.