搬瓦工的主机总被黑发垃圾邮件，求助如何排查问题所在

2019-11-08 10:07:17 +08:00

yida1313

祖传的搬瓦工主机。

今年开始隔一段时间就提示：mass mail：We have detected a large number of outgoing SMTP connections originating from this server. This usually means that the server is sending out spam.

每次手工解封后都重装系统，最近还从 centOS 换成了 ubuntu，还是不行，昨天又中招了。。。主机里就一个 V，爬梯子用的，身边几个同事一起用。

求指教该如何解决~~ 能通过看日志发现是谁那里出问题了吗？（我们只在公司用，每个人的 IP 是固定的）我不懂 linux，只会照着教程做些基本操作。。

谢谢大家！

335 次点击

所在节点

VPS

6 条回复

steley

2019-11-09 12:34:42 +08:00

安装 ufw 和 fail2ban，密钥登陆，把不用的端口都封掉

tvirus

2019-11-11 23:29:23 +08:00

iptables 里添加下面的规则

-A OUTPUT -p tcp -m multiport --dports 25,26,465 -j REJECT --reject-with tcp-reset
-A OUTPUT -p udp -m multiport --dports 25,26,465 -j DROP
-A OUTPUT -p tcp -m multiport --dports 109,110,995 -j REJECT --reject-with tcp-reset
-A OUTPUT -p udp -m multiport --dports 109,110,995 -j DROP
-A OUTPUT -p tcp -m multiport --dports 143,218,220,993 -j REJECT --reject-with tcp-reset
-A OUTPUT -p udp -m multiport --dports 143,218,220,993 -j DROP
-A OUTPUT -p tcp -m multiport --dports 24,50,57,158,209,587,1109 -j REJECT --reject-with tcp-reset
-A OUTPUT -p udp -m multiport --dports 24,50,57,158,209,587,1109 -j DROP

yida1313

2019-11-14 14:15:01 +08:00

@tvirus 感谢指导！

MicrosoftAccount

2019-11-16 14:31:27 +08:00

@tvirus 请问单独 DROP 和额外加 REJECT 有什么区别吗？

tvirus

2019-11-16 18:36:29 +08:00

https://blog.csdn.net/likunwen_001/article/details/44622355

tvirus

2019-11-16 18:37:40 +08:00

@MicrosoftAccount

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/617473

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.