服务器被攻击了，请高手分析一下原因

Question

我的一台Linux服务器被攻击了，服务器自动连接别人的SMTP服务器来发送邮件。

[root@www clientmqueue]# ps -ef | grep sendmail
root     27331     1  0 08:35 ?        00:00:20 sendmail: accepting connections
root     27332 27331  0 08:35 ?        00:00:24 sendmail: running queue: /var/spool/mqueue
smmsp    27341     1  0 08:35 ?        00:00:00 sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue
apache   20796 24035  0 09:14 ?        00:00:00 /usr/sbin/sendmail -t -i
root      8998 27331  0 09:35 ?        00:00:14 sendmail: running queue: /var/spool/mqueue
root     27057 27331  0 10:35 ?        00:00:06 sendmail: running queue: /var/spool/mqueue
root      3819     1  0 11:31 ?        00:00:00 sendmail: ./o4F3VQ3C003806 hood.cnchost.com.: user open
root      4591     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WTg5004586 mx1.home.com.: user open
root      4622     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WVBq004606 saltlake2002.com.: user open
root      4779     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WgCf004769 pe.net.: user open
root      4826     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WjqU004814 attcanada.ca.: user open
root      4842     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WkhG004824 cell-defense.com.: user open
root      4963     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WtFD004946 nullmx.domainmanager.com.: user open
apache    4964 29803  0 11:32 ?        00:00:00 /usr/sbin/sendmail -t -i
apache    5007 11749  0 11:33 ?        00:00:00 /usr/sbin/sendmail -t -i
apache    5010 16323  0 11:33 ?        00:00:00 sendmail: [127.0.0.1]: idle
apache    5015  1318  0 11:33 ?        00:00:00 /usr/sbin/sendmail -t -i
root      5018 27331  0 11:33 ?        00:00:00 sendmail: server localhost.localdomain [127.0.0.1] cmd read
root      5030     1  0 11:33 ?        00:00:00 sendmail: ./o4F3X1BX005018 mx.netins.net.: client EHLO

netstat -an |grep :25 |sort -n
tcp        0      0 128.1.30.100:46711          207.155.249.230:25          TIME_WAIT
tcp        0      0 128.1.30.100:47102          207.56.151.96:25            TIME_WAIT
。。。。。。。。。。。。。。。。。。。。
tcp        0     28 128.1.30.100:47485          204.127.208.75:25           ESTABLISHED
tcp        0   3371 128.1.30.100:47481          65.54.188.72:25             ESTABLISHED
tcp        0      7 128.1.30.100:46093          76.96.62.116:25             LAST_ACK
tcp        0      7 128.1.30.100:46302          76.96.62.116:25             LAST_ACK
tcp        0      7 128.1.30.100:47478          64.12.90.1:25               LAST_ACK
tcp        0      7 128.1.30.100:47479          64.12.90.1:25               LAST_ACK
tcp        0      7 128.1.30.100:47480          64.12.90.34:25              LAST_ACK
tcp        0      7 128.1.30.100:47482          98.137.54.238:25            LAST_ACK
tcp        1      0 128.1.30.100:47465          65.254.254.50:25            CLOSE_WAIT

[root@www clientmqueue]# netstat -an |grep :25 |wc -l
128

应该如何分析这个原因啊，或者如何拒绝掉！ 我是新手，请大家多帮帮忙！

Answer 1

netstat -nlp去看看是哪个进程在发送呀

Answer 2

Answer 3

回复 2# 一支老情歌

  WEB服务器被人当成了发送垃圾有的服务器了。

Answer 4

iptables会一点，应该怎么做呢？

Answer 5

你会用iptables么