форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение		[ Отслеживать ]

"рассыльщик спама на сервере"	+/–
Сообщение от Aleks305 (ok) on 01-Апр-15, 23:22
Друзья, прошу помочь. Не могу найти зловреда, но он есть. httpd.pl  32700       admin    3u  IPv4 35294176      0t0  TCP *:39331 (LISTEN) httpd.pl  32700       admin    4u  IPv4 29360159      0t0  TCP 185.63.189:39331->194.54.81.162:43383 (CLOSE_WAIT) httpd.pl  32700       admin    5u  IPv4 29360160      0t0  TCP 185.63.18:48154->192.185.210.206:80 (CLOSE_WAIT) httpd.pl  32700       admin    6u  IPv4 31043999      0t0  TCP 185.63.18:39331->194.54.81.162:48372 (CLOSE_WAIT) httpd.pl  32700       admin    7u  IPv4 31044000      0t0  TCP 185.63.18:44752->154.41.66.24:80 (CLOSE_WAIT) httpd.pl  32700       admin    8u  IPv4 32973353      0t0  TCP 185.63.18:39331->194.54.81.162:57491 (CLOSE_WAIT) httpd.pl  32700       admin    9u  IPv4 32973354      0t0  TCP 185.63.18:57439->79.98.25.28:80 (CLOSE_WAIT) процесс, который рассылает спам с сервера, напрямую подключаясь к серверам. В процессах он виден следующим образом: root@myeverest:/var/www/myeverest.ru# ps aux | grep admin admin      923  0.2  0.2  47928 14684 ?        Ss   15:58   0:00 mail admin     5247  4.0  0.1  33124  7596 ?        Ss   Mar31  77:14 mail admin     5248  3.5  0.1  34392  8924 ?        Ss   Mar31  66:53 mail Проверка используемых файлов процессом особо ничего не дает: httpd.pl 5247 admin  cwd    DIR    254,1     4096        2 / httpd.pl 5247 admin  rtd    DIR    254,1     4096        2 / httpd.pl 5247 admin  txt    REG    254,1     7360  1312466 /usr/bin/perl httpd.pl 5247 admin  mem    REG    254,1    21256  1315785 /usr/lib/perl/5.10.1/auto/File/Glob/Glob.so httpd.pl 5247 admin  mem    REG    254,1   120600  1315787 /usr/lib/perl/5.10.1/auto/POSIX/POSIX.so httpd.pl 5247 admin  mem    REG    254,1    18120  1315789 /usr/lib/perl/5.10.1/auto/Fcntl/Fcntl.so httpd.pl 5247 admin  mem    REG    254,1    25976  1315797 /usr/lib/perl/5.10.1/auto/Socket/Socket.so httpd.pl 5247 admin  mem    REG    254,1    19920  1315796 /usr/lib/perl/5.10.1/auto/IO/IO.so httpd.pl 5247 admin  mem    REG    254,1    35104   131103 /lib/libcrypt-2.11.3.so httpd.pl 5247 admin  mem    REG    254,1  1437064   131097 /lib/libc-2.11.3.so httpd.pl 5247 admin  mem    REG    254,1   131258   131088 /lib/libpthread-2.11.3.so httpd.pl 5247 admin  mem    REG    254,1   530736   131110 /lib/libm-2.11.3.so httpd.pl 5247 admin  mem    REG    254,1    14696   131109 /lib/libdl-2.11.3.so httpd.pl 5247 admin  mem    REG    254,1  1495784  1316155 /usr/lib/libperl.so.5.10.1 httpd.pl 5247 admin  mem    REG    254,1   128744   131091 /lib/ld-2.11.3.so httpd.pl 5247 admin    0r   CHR      1,3      0t0      560 /dev/null httpd.pl 5247 admin    1w   CHR      1,3      0t0      560 /dev/null httpd.pl 5247 admin    2w   CHR      1,3      0t0      560 /dev/null Искал и find и т.п. не удалось мне понять, как эта дрянь работает. Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает. Вообщем не знаю, куда дальше копать.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "рассыльщик спама на сервере"	+/–
Сообщение от fantom (ok) on 02-Апр-15, 10:32
>[оверквотинг удален] > httpd.pl 5247 admin    1w   CHR   >    1,3      0t0   >     560 /dev/null > httpd.pl 5247 admin    2w   CHR   >    1,3      0t0   >     560 /dev/null > Искал и find и т.п. не удалось мне понять, как эта дрянь > работает. > Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает. > Вообщем не знаю, куда дальше копать. Как вариант Ищем кто что передает: netstat -anp У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него права и делаем chmod 000 /path/to/mail После чего изучаем логи на предмет кто ругнется на отсутствие mail-а....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "рассыльщик спама на сервере"	+/–
	Сообщение от Aleks305 (ok) on 02-Апр-15, 11:03
	>[оверквотинг удален] >> работает. >> Rootkithunter показывает, что нет проблем. Clamav тоже ничего не показывает. >> Вообщем не знаю, куда дальше копать. > Как вариант >  Ищем кто что передает: > netstat -anp > У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него > права и делаем > chmod 000 /path/to/mail > После чего изучаем логи на предмет кто ругнется на отсутствие mail-а.... Добрый день. Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat ни через логи mail следов не получилось пока. Установил drweb, запустил, вдруг найдет чего.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "рассыльщик спама на сервере"	+/–
	Сообщение от Pahanivo (ok) on 02-Апр-15, 15:17
	>[оверквотинг удален] >>  Ищем кто что передает: >> netstat -anp >> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него >> права и делаем >> chmod 000 /path/to/mail >> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а.... > Добрый день. > Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat > ни через логи mail следов не получилось пока. Установил drweb, запустил, > вдруг найдет чего. дырявые скрипты на веб сервере?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "рассыльщик спама на сервере"	+/–
	Сообщение от Aleks305 (ok) on 02-Апр-15, 15:57
	>[оверквотинг удален] >>> netstat -anp >>> У вас похоже пользуются напрямую mail, находим mail смотрим/запоминаем какие у него >>> права и делаем >>> chmod 000 /path/to/mail >>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а.... >> Добрый день. >> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat >> ни через логи mail следов не получилось пока. Установил drweb, запустил, >> вдруг найдет чего. > дырявые скрипты на веб сервере? Вполне возможно, но я не спец по ним, все возможные сканеры ничего не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел. httpd.pl живет и здравствует.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "рассыльщик спама на сервере"	+/–
	Сообщение от Aleks305 (ok) on 02-Апр-15, 22:00
	>[оверквотинг удален] >>>> chmod 000 /path/to/mail >>>> После чего изучаем логи на предмет кто ругнется на отсутствие mail-а.... >>> Добрый день. >>> Спасибо за подсказку, спам хоть перестал литься. но обнаружить не через netstat >>> ни через логи mail следов не получилось пока. Установил drweb, запустил, >>> вдруг найдет чего. >> дырявые скрипты на веб сервере? > Вполне возможно, но я не спец по ним, все возможные сканеры ничего > не находят, drweb поудалял часть зловредов, но по-видимому нужного не нашел. > httpd.pl живет и здравствует. После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы исполняемые), но очень живучий и продолжал жить в оперативке Всем спасибо!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "рассыльщик спама на сервере"	+/–
	Сообщение от Pahanivo (ok) on 03-Апр-15, 06:30
	> После перезагрузки скрипт не заработал больше. Видимо я его все же удалил(файлы > исполняемые), но очень живучий и продолжал жить в оперативке > Всем спасибо! наивно. что помешает боту залить через дыру новый? ))) к тому же я бы советовал вам хорошо подумать прежде чем запускать скрипты под веб по такими пользователями как admin, root, и т.д.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема