форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Спасите от спамеров на вирт. хостинге"
Сообщение от visitor (ok) on 27-Апр-05, 22:27  (MSK)
Здравствуйте, Уважаемые. Как всегда на вас вся надежда. Есть хостинговый сервер (apache-1.3.33) с кучей вхостов. На нем крутиться почтовик (qmail). Проблема состоит в том что какая та скотина постоянно ложит тектовые файлы в /tmp в которых огромное кол-во почтовых адресов и запускает скрипт (увидел в топе, называется r0nin) для рассылки спама за счет использования этих файлов. В почтовике образуется охеренная очередь и тем самым парализуется его работа. Поиск грепом по всем файлам вхостов и логам вхостов по имени скрипта или по именам текстовым файлам те что в /tmp ничего не дал. Непонятно почему. Посоветуйте что делать? За-chroot-ить апач? Могу ли я назначить права 755 на /tmp вместо 777? Не повлияет ли это на работу всей системы? Я уже Задолбался с этим бороться? Какой выход? Заранее спасибо.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Спасите от спамеров на вирт. хостинге"
Сообщение от Асен Тотин on 28-Апр-05, 01:48  (MSK)
Привет, >Проблема состоит в том что какая та скотина постоянно ложит тектовые >файлы в /tmp А как это происходит? Неуж-то через PHP upload? Тогда обязательно введите ваш PHP в safe mode и разрешите upload каждому VHost-у в свою директорию... по крайней мере, легко найдете кто виноват. > в которых огромное кол-во почтовых адресов и запускает >скрипт (увидел в топе, называется r0nin) r0nin - это hack или вирус, как вам больше по душе; постарайтесь выяснить как он проник к вам (напр., grep в логах Apache); кто его запускает и откуда (смотрите в /proc/<pid>/...) >Могу ли я назначить права 755 на >/tmp вместо 777? Нет, я бы не стал этого делать. WWell,
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Спасите от спамеров на вирт. хостинге"
	Сообщение от visitor (ok) on 28-Апр-05, 09:48  (MSK)
	>и разрешите upload каждому VHost-у в свою >директорию... по крайней мере, легко найдете кто виноват. > опишите пожалуйста подробней как это сделать >> в которых огромное кол-во почтовых адресов и запускает >>скрипт (увидел в топе, называется r0nin) > >r0nin - это hack или вирус, как вам больше по душе; постарайтесь выяснить как он проник к вам (напр., grep в логах Apache); делал grep и по логам апача и по логам всех вхостов - ничего не нашел. делал рекурсивный поиск по всем директориям вхостов - тоже в пустую :( сам не понимаю почему нет результата... >кто его запускает и откуда (смотрите в /proc/<pid>/...) > OS FreeBSD 5.3-RELEASE >>Могу ли я назначить права 755 на >>/tmp вместо 777? > >Нет, я бы не стал этого делать. > >WWell, спасибо за советы
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Спасите от спамеров на вирт. хостинге"
Сообщение от lithium (ok) on 28-Апр-05, 09:53  (MSK)
Мне больше кажется, что тебя вломали. Дай антивирусу права root и пройдись им по всей ФС. Еще вариант остановить сервер на время, примонтировать диски на время к другой машине (заведомо чистой) и проверить с неё. Если стоит RH-based linux, то rpm -Va. Юзеры должны заходить каждый под своим uid, тогда по владельцу файла можно вычислить злодея.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.