文章总结： 本文记录了一次邮件服务器入侵的CTF解题过程。针对Postfix与Roundcube环境，通过分析mail.log和auth.log锁定暴力破解的攻击IP与被盗账号，利用Roundcube错误日志发现恶意邮件转发目标，结合Web访问日志与文件特征提取出植入的Webshell路径及MD5值，最终通过排查网络连接定位后门监听端口。整体过程逻辑清晰，为邮件服务器应急响应提供了基础的日志排查思路。 综合评分： 58 文章分类： 应急响应,CTF,WEB安全

CTF培训笔记五——邮件服务器应急

原创

青青青青 青青青青

秦小信

2026年3月27日 12:13 陕西

场景描述

公司邮件服务器（Postfix + Roundcube Webmail）疑似遭受入侵。多名员工反馈近日收到来自内部邮箱的异常邮件，且部分员工邮箱出现被盗发邮件的情况。运维团队初步判断邮件服务器已被攻陷，请你排查入侵痕迹，还原攻击过程。

提示：重点关注邮件日志（/var/log/mail.log）、系统认证日志、Web 目录和系统配置变更。

解题过程

1、攻击者对邮件服务器进行暴力破解的 IP 是什么：

查看mail.log看到异常IP

查看auth.log，发现这个IP一直测试失败，上面的时间点成功的信息。

2、攻击者暴力破解成功的邮箱账号（不含域名）：

综合上面得出结果

3、攻击者添加的恶意邮件转发目标邮箱是什么：

查看/var/www/roundcube/logs/error.log得出地址和

4、攻击者在服务器上植入的 Webshell 完整路径 md5：

查看/var/www/roundcube/logs/access.log，看到post上传的路径

查看该文件，看到eval确认植入的wenshell

cyberchef得到md5

5、攻击者植入的后门程序监听的端口号是什么：

这个一开始没有思路，按照提示mail.log、auth.log、web日志都看了，对于系统配置变更没有思路。

最后查了下网络连接

得到监听端口

验证

以上

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：秦小信 青青青青 青青青青《CTF培训笔记五——邮件服务器应急》