Сервер Zimbra взломан - как исследовать
У нас есть почтовый сервер Zimbra, и одна из учетных записей электронной почты была взломана. Проблема, которая у нас есть сейчас, заключается в том, что с этого сервера рассылается много спама, и мы не можем определить, какая учетная запись взломана.
В mailq мы можем видеть только отправленное письмо, но это поддельный адрес электронной почты.
Есть ли способ определить настоящего пользователя аутентификации, который отправляет эти электронные письма?
2
задан Milos
25 April 2018 в 11:12
Ссылка
2 ответа
Вы можете либо использовать журналы grep для отправителей, например
grep sasl_username /var/log/maillog
, либо использовать этот сценарий для отображения совокупной статистики
#!/usr/bin/python2
from __future__ import print_function
import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')
senders = {}
for line in open('/var/log/maillog'):
m = re_sasl.search(line.strip())
if m:
username = m.group(1)
if username in senders:
senders[username] += 1
else:
senders[username] = 1
print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
print("\t{0:5d} {1}".format(count, username))
1
Используйте эту команду для получения сведений о взломанной учетной записи
cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n
0