The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"рассыльщик спама на сервере"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение [ Отслеживать ]

"рассыльщик спама на сервере"  +/
Сообщение от Aleks305 (ok) on 01-Апр-15, 23:22 
Друзья, прошу помочь. Не могу найти зловреда, но он есть.
httpd.pl  32700       admin    3u  IPv4 35294176      0t0  TCP *:39331 (LISTEN)
httpd.pl  32700       admin    4u  IPv4 29360159      0t0  TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT)
httpd.pl  32700       admin    5u  IPv4 29360160      0t0  TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT)
httpd.pl  32700       admin    6u  IPv4 31043999      0t0  TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT)
httpd.pl  32700       admin    7u  IPv4 31044000      0t0  TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT)
httpd.pl  32700       admin    8u  IPv4 32973353      0t0  TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT)
httpd.pl  32700       admin    9u  IPv4 32973354      0t0  TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT)
процесс, который рассылает спам с сервера, напрямую подключаясь к серверам.
В процессах он виден следующим образом:
root@myeverest:/var/www/myeverest.ru# ps aux | grep admin
admin      923  0.2  0.2  47928 14684 ?        Ss   15:58   0:00 mail
admin     5247  4.0  0.1  33124  7596 ?        Ss   Mar31  77:14 mail
admin     5248  3.5  0.1  34392  8924 ?        Ss   Mar31  66:53 mail
Проверка используемых файлов процессом особо ничего не дает:
httpd.pl 5247 admin  cwd    DIR    254,1     4096        2 /
httpd.pl 5247 admin  rtd    DIR    254,1     4096        2 /
httpd.pl 5247 admin  txt    REG    254,1     7360  1312466 /usr/bin/perl
httpd.pl 5247 admin  mem    REG    254,1    21256  1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so
httpd.pl 5247 admin  mem    REG    254,1   120600  1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so
httpd.pl 5247 admin  mem    REG    254,1    18120  1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so
httpd.pl 5247 admin  mem    REG    254,1    25976  1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so
httpd.pl 5247 admin  mem    REG    254,1    19920  1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so
httpd.pl 5247 admin  mem    REG    254,1    35104   131103 /lib/libcrypt-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1  1437064   131097 /lib/libc-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1   131258   131088 /lib/libpthread-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1   530736   131110 /lib/libm-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1    14696   131109 /lib/libdl-2.11.3.so
httpd.pl 5247 admin  mem    REG    254,1  1495784  1316155 /usr/lib/libperl.so.5.10.1
httpd.pl 5247 admin  mem    REG    254,1   128744   131091 /lib/ld-2.11.3.so
httpd.pl 5247 admin    0r   CHR      1,3      0t0      560 /dev/null
httpd.pl 5247 admin    1w   CHR      1,3      0t0      560 /dev/null
httpd.pl 5247 admin    2w   CHR      1,3      0t0      560 /dev/null
Искал и find и т.п. не удалось мне понять, как эта дрянь работает.
Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
Вообщем не знаю, куда дальше копать.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "рассыльщик спама на сервере"  +/
Сообщение от fantom (ok) on 02-Апр-15, 10:32 
>[оверквотинг удален]
> httpd.pl 5247 admin    1w   CHR  
>    1,3      0t0  
>     560 /dev/null
> httpd.pl 5247 admin    2w   CHR  
>    1,3      0t0  
>     560 /dev/null
> Искал и find и т.п. не удалось мне понять, как эта дрянь
> работает.
> Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
> Вообщем не знаю, куда дальше копать.

Как вариант
Ищем кто что передает:

netstat -anp

У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него права и делаем
chmod 000 /path/to/mail

После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "рассыльщик спама на сервере"  +/
Сообщение от Aleks305 (ok) on 02-Апр-15, 11:03 
>[оверквотинг удален]
>> работает.
>> Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает.
>> Вообщем не знаю, куда дальше копать.
> Как вариант
>  Ищем кто что передает:
> netstat -anp
> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
> права и делаем
> chmod 000 /path/to/mail
> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....

Добрый день.
Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat ни через логи mail следов не получилось пока. Установил drweb, запустил, вдруг найдет чего.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "рассыльщик спама на сервере"  +/
Сообщение от Pahanivo (ok) on 02-Апр-15, 15:17 
>[оверквотинг удален]
>>  Ищем кто что передает:
>> netstat -anp
>> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
>> права и делаем
>> chmod 000 /path/to/mail
>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
> Добрый день.
> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
> ни через логи mail следов не получилось пока. Установил drweb, запустил,
> вдруг найдет чего.

дырявые скрипты на веб сервере?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "рассыльщик спама на сервере"  +/
Сообщение от Aleks305 (ok) on 02-Апр-15, 15:57 
>[оверквотинг удален]
>>> netstat -anp
>>> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него
>>> права и делаем
>>> chmod 000 /path/to/mail
>>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
>> Добрый день.
>> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
>> ни через логи mail следов не получилось пока. Установил drweb, запустил,
>> вдруг найдет чего.
> дырявые скрипты на веб сервере?

Вполне возможно, но я не спец по ним, все возможные сканеры ничего не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел. httpd.pl живет и здравствует.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "рассыльщик спама на сервере"  +/
Сообщение от Aleks305 (ok) on 02-Апр-15, 22:00 
>[оверквотинг удален]
>>>> chmod 000 /path/to/mail
>>>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
>>> Добрый день.
>>> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat
>>> ни через логи mail следов не получилось пока. Установил drweb, запустил,
>>> вдруг найдет чего.
>> дырявые скрипты на веб сервере?
> Вполне возможно, но я не спец по ним, все возможные сканеры ничего
> не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел.
> httpd.pl живет и здравствует.

После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы исполняемые), но очень живучий и продолжал жить в оперативке
Всем спасибо!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "рассыльщик спама на сервере"  +/
Сообщение от Pahanivo (ok) on 03-Апр-15, 06:30 
> После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы
> исполняемые), но очень живучий и продолжал жить в оперативке
> Всем спасибо!

наивно. что помешает боту залить через дыру новый? )))
к тому же я бы советовал вам хорошо подумать прежде чем запускать скрипты под веб по такими пользователями как admin, root, и т.д.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру