文章总结： 该文档记录了邮件服务器入侵应急响应实战案例，涉及Postfix和RoundcubeWebmail系统。通过分析mail.log发现暴力破解IP，auth.log显示攻击者成功入侵邮箱账户，roundcube日志揭示恶意邮件转发配置和Webshell植入路径。关键发现包括攻击者通过暴力破解获取凭证后植入后门程序，并通过网络连接分析定位监听端口。可操作建议包括重点监控邮件日志、系统认证日志和Web目录异常变更。 综合评分： 72 文章分类： 应急响应,漏洞分析,恶意软件,WEB安全,安全工具

CTF培训笔记五——邮件服务器应急

原创

青青青青 青青青青

秦小信

2026年3月27日 12:13 陕西

在小说阅读器读本章

去阅读

场景描述

公司邮件服务器（Postfix + Roundcube Webmail）疑似遭受入侵。多名员工反馈近日收到来自内部邮箱的异常邮件，且部分员工邮箱出现被盗发邮件的情况。运维团队初步判断邮件服务器已被攻陷，请你排查入侵痕迹，还原攻击过程。

提示：重点关注邮件日志（/var/log/mail.log）、系统认证日志、Web 目录和系统配置变更。

解题过程

1、攻击者对邮件服务器进行暴力破解的 IP 是什么：

查看mail.log看到异常IP

查看auth.log，发现这个IP一直测试失败，上面的时间点成功的信息。

2、攻击者暴力破解成功的邮箱账号（不含域名）：

综合上面得出结果

3、攻击者添加的恶意邮件转发目标邮箱是什么：

查看/var/www/roundcube/logs/error.log得出地址和

4、攻击者在服务器上植入的 Webshell 完整路径 md5：

查看/var/www/roundcube/logs/access.log，看到post上传的路径

查看该文件，看到eval确认植入的wenshell

cyberchef得到md5

5、攻击者植入的后门程序监听的端口号是什么：

这个一开始没有思路，按照提示mail.log、auth.log、web日志都看了，对于系统配置变更没有思路。

最后查了下网络连接

得到监听端口

验证

以上

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：秦小信 青青青青 青青青青《CTF培训笔记五——邮件服务器应急》