邮件服务器为何用火绒查杀出下载者木马病毒

火绒查杀可以检测出邮件服务器上的木马病毒，以及邮件服务器上的其他恶意软件。火绒查杀可以检测出木马病毒的活动，并且可以阻止木马病毒对邮件服务器的恶意攻击。火绒查杀还可以帮助邮件服务器管理员发现和移除木马病毒，以保护邮件服务器免受恶意软件的攻击。

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

你可以尝试检查一下你的权限设置，看看你的属性中的
“SMTP服务器需要身份验证”复选框是否已经选中。
AUTH命令显示了一种和邮件服务器间的安全认证机制 。如果邮件服务器支持这
种认证机制，它就会执行一个认证协议交互来认证并识别邮件用户。作为可选的情况，他也
会忽略这以后后协议交互的一个安全层。如果服务器并不支持所需要的认证协议，就会用
504的回答来拒绝这个AUTH命令。
认证协议交互过程由一系列由认证机制定义的邮件服务器端的命令和邮件客户端
的响应组成。
一个邮件服务器端命令，或者所谓一个准备好响应，是一个334起头的，包含用
base64编码的字符串文本。邮件客户端也同样由包含了用base64编码的字符串。如果邮件
客户端希望可以取消一个进行中的认证交互过程，它会发出一个仅包含一个字符""命令行，
邮件服务器端一旦收到这样的一个回答后，必须发一个501标识的回答，而后拒绝AUTH
命令。
对AUTH命令来说，可选的初始化响应建议是用来在使用认证机制时保持一个往
返的回程,认证机制的定义中此建议不发送任何数据。当初始化响应部分用在这种机制时，
开始的空的发起命令不被送到客户端，并且服务器端使用的数据也好象是发送来
响应一个空的命令。它发送一个零长度的初始化回答作为一个"="符号。如果客户端
在认证机制的AUTH命令响应中使用初始化建议，客户端就在初始化命令中发送响应的
数据，服务器端用535回答来拒绝AUTH命令。
如果不能对参数用base64解码，就用501回答来拒绝AUTH命令，如果服务器
拒绝认证数据，它应该用535的回答（可以带其他详细的特殊错误代码，比如在第6节所列
的代码中的一个）来拒绝AUTH命令。如果客户端成功完成了认证交互，SMTP服务器就
应该返回一个235的响应。

---