如何识别垃圾邮件脚本

Question

我知道这是一个由来已久的问题，但在如何识别后缀上的垃圾邮件脚本方面，我没有找到令人满意的答案。

我知道我必须查看postfix的邮件日志，获取消息ID并检查我所做的标题内容。我似乎没有看到“X起始-脚本”行来定位确切的脚本。相反，我有行:Mailerv1.0。还有其他方法可以找到从本地机器发送电子邮件的脚本吗？

下面是消息ID

*** MESSAGE CONTENTS deferred/1/17A30ED943C ***
Received: from somedomain.com (localhost [127.0.0.1])
    by mymail-server.com (Postfix) with ESMTP id 17A30ED943C
    for <someuser@aol.com>; Mon, 18 Jul 2016 12:45:54 +0300 (EAT)
Date: Mon, 18 Jul 2016 09:45:54 +0000 (UTC)
From: jms <info@somedomain.com>
To: someuser@aol.com
Message-ID: <1698090211.3510965.1468835154806@somedomain.com>
Subject: FW:  Hi nolaspud
MIME-Version: 1.0
Content-Type: multipart/alternative; 
    boundary="----=_Part_3510964_1152532126.1468835154806"
X-mailer: Mailer v1.0

Answer 1

通过选项php.ini允许X源起脚本头在mail.add_x_header = On文件中，这样会更快地启用它。

然后在mailq中查看新的电子邮件。

Answer 2

如果您有一台被破坏的机器，第一步就是断开它与网络的连接。然后你可以用一个新的安全的。

我知道这不是你所期望的答案，但清理一台受损的机器可能会非常复杂。你问这个问题的方式表明你在处理安全问题方面缺乏经验，最好的答案是用干净和安全的机器代替机器。

如果您想查看哪个进程正在发送电子邮件，请检查是否正在运行进程，检查crontab和at。检查加载的模块，检查机器是否有杂乱模式的网卡。使用netstat -anp | grep :25查看哪些进程连接到SMTP。您可以使用Rootkit Hunter搜索攻击跟踪。