一天,某位朋友告诉我查看邮件服务器的负载过高

load average:271.81,261.82,244.85 

其中53.4%id和43.0%wa

看出cpu虽然很闲 但是cpu的时间都用了等待了,等待io设备,由于平时正常业务量不至于带来如此大负载,于是怀疑服务器是否被***,***利用邮件服务器在发送垃圾邮件,经过排查发现来自台湾的一些IP地址,动态的ip(估计是ADSL吧,台湾不了解)登录用户邮箱。应该破解了服务器上用户的邮箱密码,通过用户的邮箱疯狂的向yahoo.com.tw 发送垃圾邮件。

经过一系列的检测发现幸好只是因为用户密码强度不够,被暴力破解,服务器系统没有被***的痕迹。于是通知用户即使修改密码。