- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте.
Пришла жалоба от администратора моего сервера:
- следствием того, что арендумый Вами сервер подвергся заражению червем или вирусом или трояном
- следствием того, чо с Вашего сервера злоумышленник пытался просканировать группу серверов по порту RDP
В связи с этим мы ожидаем от Вас проведения мероприятий по установлению секьюрити бага или зловредного ПО, которое ведет такую сетевую активность.
Кто-нибудь в этом разбирается и может помочь с выявлением заразы?
Здравствуйте.
Пришла жалоба от администратора моего сервера:
Кто-нибудь в этом разбирается и может помочь с выявлением заразы?
Видимо у вас в скриптах "дырка" через которою заливаю шелл, а потом сервер
коннектят для участия в ботнет сети.
и что мне делать посоветуете?
Нанимайте администратора на сервер и пусть он помогает, кто там подключиться хотел к портам.
и что мне делать посоветуете?
необходимо обследовать директории сервера, такие как tmp и т.д.
но вычистить мусор это только 50% всей работы, необходимо найти
уязвимость, или хотя бы временно положить в те директории, на которые
заливают шелл, файлик .htaccess примерно с таким содержанием:
Нанимайте администратора на сервер и пусть он помогает, кто там подключиться хотел к портам.
Это VPS поди - судя по фразе "жалоба от администратора моего сервера". Денек-то хватит на нормального системного администратора? ;)
Если не хватит - выясняйте самостоятельно в первую очередь: нет ли подозрительных процессов в системе, выполняющихся от root. Если сервер скомпрометирован до такой степени - только переустановка.
Если нет: настройте файервол нормально, в т.ч. оставьте только нужный _исходящий_ трафик. Обычно исходящие соединения нужны разве для почты и (чуть реже) веба. После этого - вычищайте гадость из всех каталогов, что доступны на запись веб-скриптам. Это не только "tmp" - а у господ "chmod -R 777 <путь_к_моему_сайту>" - чуть менее чем до-*** всего...
Ну, и найдите, затем исправьте уязвимость, конечно. Удачи.
Видимо у вас в скриптах "дырка" через которою заливаю шелл
Запросто может быть, что заливает и сам аффтор. Мусью специалист по гаданию на кофейной гуще?
PS: Ежели текст жалобы сохранен AS-IS - звучит он как-то по нищебродски. Грамотных саппортов у хостера нету?
Это VPS поди - судя по фразе "жалоба от администратора моего сервера". Денек-то хватит на нормального системного администратора? ;)
У меня сервер. Под администратором имел ввиду тех. поддержку сайта, где я покупал сервер.
Денех то никогда нет.)
Ежели текст жалобы сохранен AS-IS - звучит он как-то по нищебродски. Грамотных саппортов у хостера нету?
оригинал жалобы составлен грамотно, просто я попросил перевести на язык нищебродов типа меня.)
из выше сказанного я ничего сам сделать не смогу - тогда найму администратора как LEOnidUKG посоветовал.
В оригинале письма разве не указан путь к шелу?
Обычно пишут от куда долбит, ну или хотя бы домен который атакует.
А вообще надо все шерстить, если ботнет, то он может сидеть не только в ввв, но и в корневых папках ос.
Покажите оригинал письма.
Вот. IP сервера заменил на 11.111.111.11.
Gesendet: Donnerstag, 10. November 2011 15:57
An: Abuse
Betreff: Re: [TR #2301731] 11.111.111.11 blocked at caltech.edu
11.111.111.11 was observed probing caltech.edu for security holes. It
has been blocked at our border routers. It may be compromised.
For more info contact security@its.caltech.edu
Please include the entire subject line of the original message
Blake
(time zone of log is PST, which is UTC-08:00, date is MMDD)
log entries are from Cisco netflow, time is flow start time
date.time srcIP srcPort dstIP dstPort proto #pkts
1110.04:04:56.999 11.111.111.11 40496 131.215.242.16 3389 6 1
1110.04:05:22.797 11.111.111.11 38388 134.4.155.70 3389 6 1
1110.04:05:01.033 11.111.111.11 40496 131.215.78.2 3389 6 1
1110.04:05:00.459 11.111.111.11 40496 134.4.98.74 3389 6 1
1110.04:04:54.450 11.111.111.11 40496 134.4.187.84 3389 6 1
1110.04:05:24.212 11.111.111.11 38388 134.4.116.9 3389 6 1
1110.04:05:26.900 11.111.111.11 38388 131.215.171.106 3389 6 1
1110.04:05:28.756 11.111.111.11 38388 131.215.33.2 3389 6 1
1110.04:06:25.488 11.111.111.11 38388 131.215.19.69 3389 6 2
1110.04:05:32.463 11.111.111.11 38388 134.4.27.81 3389 6 1
1110.04:05:32.846 11.111.111.11 38388 131.215.24.43 3389 6 1
1110.04:05:37.105 11.111.111.11 38388 131.215.252.106 3389 6 1
1110.04:05:45.489 11.111.111.11 38388 134.4.200.103 3389 6 1
1110.04:05:46.033 11.111.111.11 38388 134.4.207.55 3389 6 1
1110.04:05:46.449 11.111.111.11 38388 131.215.117.33 3389 6 1
contact info from:
whois
contact: abuse@keyweb.de
Искать нужно проблемы на сервере.
А лучше это сразу поручить профессионалам, чтобы исправили проблему, а не симптом. А то и дальше будут взламывать.
Если надумаете обратиться к администраторам, можете написать в web-чат у меня в подписи (круглосуточно).
Здравствуйте.
Пришла жалоба от администратора моего сервера:
Кто-нибудь в этом разбирается и может помочь с выявлением заразы?
Закрой на файре исход по тем портам