спамят с сервера, помоги те найти дыру и закрыть

0

1

центос 5.x кто то с сервера с разных ip рассылает спам, мне сыпит хостер абузы, нашёл шеллы разные, думал с них идёт, переименовал - толку нет. если кто может взяться порешать задачу за $ оставьте свои контакты пожалуйста

Перемещено tazhate из admin

Ссылка

←	Java Software Engineer (Санкт-Петербург)

ищется фрилансер для модификации vicidial

→

виндец =) заголовки смотри тех писем, что тебе в абузах пересылают. и шеллы не переименовывать надо, а удалять. еще есть волшебный файл /var/log/maillog, и волшебный grep. или tail. задача - смотреть почтовый лог, там есть и кто шлет, и откуда шлет.

Komintern ★★★★★
(23.04.13 22:29:35 MSK)
Последнее исправление: Komintern 23.04.13 22:30:43 MSK (всего исправлений: 1)

Ссылка

Если подсказки Komintern мало окажется, пиши координаты, что ли... А сервер, вообще, что делает ? Не хостинг виртуальных страничек, часом ?

AS ★★★★★
(23.04.13 23:08:46 MSK)

если есть один шел, значит есть и другие дырки

сколько сайтов на сервере? какие CMS?

anonymous
(23.04.13 23:11:31 MSK)

обращайтесь, есть опыт в подобных делах

frozen_twilight ★★
(23.04.13 23:30:04 MSK)

Ответ на: комментарий от AS 23.04.13 23:08:46 MSK

оставь контакты, icq jabber

rubro
(23.04.13 23:44:06 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 23.04.13 23:11:31 MSK

штук 200 заброшенных, основных не больше 5, Komintern вот так срезюмировал происходящее на сервере:

короче не везет тебе. довольно сложный вид спама.
посмотрю еще мож чо в голову прийдет. но походу надо глобальную проверку устраивать
каждого сайта

me: какой порядок действий щас это всё вылавливать?

сканить каждый сайт отдельно скриптом ай-болит (линк выше), сканить сервак rkhunter-ом или chkrootkit-ом, и еще каким-то f-prot или clamav еще

rubro
(23.04.13 23:49:04 MSK) автор топика

Ссылка

Ответ на: комментарий от frozen_twilight 23.04.13 23:30:04 MSK

есть icq/jabber?

rubro
(23.04.13 23:49:38 MSK) автор топика

Ответ на: комментарий от rubro 23.04.13 23:49:38 MSK

Напишите на мыло с сайта, тут же будет вам IM.

frozen_twilight ★★
(23.04.13 23:51:21 MSK)

Ответ на: комментарий от frozen_twilight 23.04.13 23:51:21 MSK

вопрос закрыт, выражаю глубокую благодарность товарищу frozen_twilight за решение проблемы!

rubro
(24.04.13 00:39:43 MSK) автор топика

Ответ на: комментарий от rubro 24.04.13 00:39:43 MSK

вопрос закрыт, выражаю глубокую благодарность товарищу frozen_twilight за решение проблемы!

Спамили через вызов sendmail на локалхосте ? Если да, решили как ? Врапером, который рабочий каталог добавляет в хидер ? Если просто нашли, можно на будущее сделать.

AS ★★★★★
(24.04.13 10:05:50 MSK)

Ответ на: комментарий от AS 24.04.13 10:05:50 MSK

На сервере висел SOCKS прокси без единого намёка на аутентификацию. Поэтому спамили как на локальный MTA по SMTP, так и наружу (хотя судя по списку исходящих подключений там далеко не только рассылка e-mail была).

frozen_twilight ★★
(24.04.13 22:45:58 MSK)
Последнее исправление: frozen_twilight 24.04.13 22:46:49 MSK (всего исправлений: 1)

Ответ на: комментарий от frozen_twilight 24.04.13 22:45:58 MSK

На сервере висел SOCKS прокси без единого намёка на аутентификацию

и как он там оказался?

Kompilainenn ★★★★★
(30.04.13 22:51:23 MSK)

Ответ на: комментарий от Kompilainenn 30.04.13 22:51:23 MSK

Небось сервер порутали и повешали

Odessky
(03.05.13 11:42:07 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Java Software Engineer (Санкт-Петербург)

Job

ищется фрилансер для модификации vicidial

→

Похожие темы