Зараза в Debian

0

1

Ребят, помогите избавиться от заразы в debian

какая то зараза через инъекции форм на сайте залезла на сервак теперь в системе сидит какая то дрянь. которая как я понял, отправляет почтовый спам через сендмаил

поставил rkhunter смотрю и ничего понять не могу...

то и дело связка nginx+aache2+mysql подвисают и сайты не доступны.

в начале были заражены директории сайтов, но их к начальному виду получилось вернуть, благо резервные копии через гит делаю каждый день автоскриптом. Не уверен в mysql - новых юзверей не обнаружилось. /etc/passwd тоже вроде нового не содержит

через ssh захожу под другим пользователем и переключаюсь на рута в /var/spool/mqueue появляется куча файлов. содержимое - спам контент с тегами html после удаления файлов - появляются снова

Ссылка

←	Опрос по обновлению ПО серверов

права на winbindd_privileged

→

почините дырявый сайт и наймите админа

handbrake ★★★
(22.07.14 11:23:39 MSK)

Реинстал системы + поиск вредоносного скрипта + нормальное логирование тебя спасут.

~~xtraeft~~ ★★☆☆
(22.07.14 11:28:45 MSK)

Ответ на: комментарий от xtraeft 22.07.14 11:28:45 MSK

и нормальные пароли

~~int13h~~ ★★★★★
(22.07.14 11:30:48 MSK)

Ответ на: комментарий от int13h 22.07.14 11:30:48 MSK

Да нереально сбрутить пароли (кроме root:root всяких), что вы к ним пристали? Вся зараза с другой стороны ходит.

~~xtraeft~~ ★★☆☆
(22.07.14 11:32:19 MSK)

Ссылка

Ответ на: комментарий от handbrake 22.07.14 11:23:39 MSK

формы починили права доступов к директориям сайтов поправили админа пока не потяну... сам пока ковыряю как могу :(

astralo
(22.07.14 11:34:33 MSK) автор топика

Ответ на: комментарий от xtraeft 22.07.14 11:28:45 MSK

реинсталл не вариант. несколько сайтов крутится с рекламой :(

astralo
(22.07.14 11:35:17 MSK) автор топика

Ответ на: комментарий от astralo 22.07.14 11:34:33 MSK

поди сайты-то на говно-cms-ках.

vxzvxz ★★★
(22.07.14 11:36:11 MSK)

Ссылка

а если удалить sendmail и поставить что-нибудь другое?

а лучше удалить там всё вообще, а почтовый сервер сделать на отдельном компьютере, порты прокинуть

~~stevejobs~~ ★★★★☆
(22.07.14 11:37:21 MSK)
Последнее исправление: stevejobs 22.07.14 11:37:54 MSK (всего исправлений: 1)

Ссылка

в заголовках писем смотри что шлет и от этого уже копай.

ну и как супер мощную меру можешь запретить MAIL для php в конфиге и заняться поиском в логах :) хотя даже в этом случае можно спам слать, но обычно этого хватает.

ktk ★★★★
(22.07.14 11:44:01 MSK)
Последнее исправление: ktk 22.07.14 11:45:00 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от astralo 22.07.14 11:35:17 MSK

Ну тогда молись богу, что нет руткита.
rkhunter не спасет.

~~xtraeft~~ ★★☆☆
(22.07.14 11:45:23 MSK)

Ответ на: комментарий от xtraeft 22.07.14 11:45:23 MSK

руткитов вроде нет. во всяком случае чекрут и ркхантер не находят.

но вот очередь то и дело заполняется. логи мускуля нулевые, будто их ктото трет и сам мускль время от времени ломается. при рестарте мускуля сообщает о битых данных. видимо зараза ковыряет

astralo
(23.07.14 09:31:56 MSK) автор топика

Ответ на: комментарий от astralo 22.07.14 11:35:17 MSK

Российский бизнес. Сайт 24х7 без резервной площадки. Как хоть ваша контора называется, чтоб не попасть случайно?

anonymous
(23.07.14 09:48:20 MSK)

Ответ на: комментарий от anonymous 23.07.14 09:48:20 MSK

смотрю шваль уже свою желчь начинает изливать видимо больше некому что-то добавить.

astralo
(23.07.14 10:02:43 MSK) автор топика

Ответ на: комментарий от astralo 23.07.14 10:02:43 MSK

смотрю, под кем-то кресло задымилось :3

anonymous
(23.07.14 10:48:45 MSK)

Ссылка

Ответ на: комментарий от astralo 23.07.14 09:31:56 MSK

руткитов вроде нет. во всяком случае чекрут и ркхантер не находят.

И не найдут, забудь про эти утилиты.

~~xtraeft~~ ★★☆☆
(23.07.14 12:55:01 MSK)

Ссылка

Ответ на: комментарий от astralo 23.07.14 09:31:56 MSK

90% руткитов в юзер спейсе работают хукая вызовы собственной библиотекой, которая указана в LD_PRELOAD_PATH, так что в студию:

echo $LD_PRELOAD_PATH

dbzer0
(23.07.14 14:53:48 MSK)

Ссылка

Пароли сбрутить реально, этим занимается просто уйма ботов, уж поверьте. Без sshguard я серверы вообще не ставлю.

У вас либо простое заражение какого-то веб-скрипта, либо руткит, что куда хуже, либо какой-то ботнет от имени пользователя.

https://gist.github.com/ValdikSS/ae5c4b9296543b7054ec — вот мой небольшой тестер руткитов. Срабатывает с любыми LD_PRELOAD руткитами, только путь до libc поменяйте. По идее, от этого тестера элементарно скрыться, но ни один известный руткит этого не делает.

ValdikSS ★★★★★
(24.07.14 23:11:09 MSK)