LINUX.ORG.RU
решено ФорумSecurity

Сервер на debian начал рассылать спам...((( помогите плз

 , ,


0

1

В общем выключить пришлось,... спам вот такой: http://www.hoax-slayer.com/whatsapp-new-voicemail-malware-emails.shtml

на сервере быстренько поменял пароли, перезагрузил но не помогло, что еще можно сделать помогите плз!!!

aircrack-ng, wpa2, пакеты
Компания Google занесла официальный сайт PHP в список ресурсов, распространяющих вредоносное ПО

почисти всё, что не из реп стоит. если не поможет - снеси и поставь с нуля. если не получается выцепить заразу, это самый быстрый вариант

MyTrooName ★★★★★
()
Ответ на: комментарий от djforce

долго и подробно писал ответ, но случайно закрыл браузер )

короче, сделай свежий сервер и подмени паленый на него. только следи за тем, что ставишь.

или найми специалиста. если хочешь получить бесплатную консультацию на лоре, проставь тег «телепаты», чтобы подтянулись товарищи с соответствующим навыком

MyTrooName ★★★★★
()

Гугли «Порядок действий при обнаружении руткита». Смотри, какие пакеты успели подменить, переставь их, потом ищи дырку, через которую тебя поимели, иначе все будет напрасно и переустановка не спасет - поимеют точно так же еще раз.

eagleivg ★★★★★
()
Ответ на: комментарий от eagleivg

решил

В общем хз, решил до конца или нет. Но вот что сделал:

1) сменил пароли на юзеров которых заводел
2) Удалил из файлов passwd и groupe юзера
messagebus:x:115:116::/var/run/dbus:/bin/false
т.к. хз что это за юзер
3) Дальше путем эксперимента вычислил что при отключении апача спам валиться перестает.
4) Проанализировал ручками логи обращений к вэб сайтам (благо их не много) tail -f /var/log/apache2/....
выяснил что мой основной сайт брутят на перебор паролей, там вордпресс,
5) Отключил чисто 1 мой сайт, спам прекратился,
6) Сравнил файловую систему с фс из бэкапа. И нашелся интересный скриптик в корне сайта в папке css (такой папки, до этого не было)...
7) Его убрал, защитил админку .passwd
8) Сейчас настроил доп логирование как тут написано:
http://0pl.ru/rassyilaetsya-spam-s-servera/
До сих пор тишина.

Если кому интересно на тот скрипт посмотреть, могу скинуть...

djforce
() автор топика
Ответ на: решил от djforce

Остался вопрос, как его туда положили...
Но я грешу на
chrome-extension://kogcfmeennoidocadkgjhnbancebmlbf/terminal.html#app
это приложение сайта https://koding.com/
Был грешок ввести там рутовый пароль в безвыходной ситуации

djforce
() автор топика
Ответ на: комментарий от djforce

Зачем могло понадобиться, где-то, вводить рутовый пароль?!

sambo ★★
()
Ответ на: комментарий от djforce

Не

Так бы не только в одном сайте скрипты были бы

Тут явно в вебе дырка

derlafff ★★★★★
()

Зато рассылка идёт мегастабильно, в этом можно быть уверенным.

anonymous
()
Ответ на: решил от djforce

Ты удалил пользователя dbus. Грац.

pztrn ★★★★
()
Ответ на: решил от djforce

2) Удалил из файлов passwd и groupe юзера
messagebus:x:115:116::/var/run/dbus:/bin/false

Отлично. Осталось format c: сделать.

shahid ★★★★★
()

Скорее на сайтик (тот что на сервере) зашел Дениска Попов, залил popov_shell.sh, и шлет приветы всем.

invokercd ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
aircrack-ng, wpa2, пакеты
Security
Компания Google занесла официальный сайт PHP в список ресурсов, распространяющих вредоносное ПО