Форум Сайтостроение Администрирование серверов

Помогите найти шел на сайте.

12
[Удален]
2046

Здравствуйте. Помогите разобраться в сутиации. Есть сайт на хостинге.

Вчера админы заблокаровали сайт и прислали лог который содержал кучу строчек

85350 %user% 1 8 0 1708K 1044K nanslp 5 0:01 0.00%

sendmail-t

мол,вы привысили лимит процессов.

Все процессы содержат "sendmail-t".

Но на самом сайте я сендмайл не использую.Значит как я понимаю самое вероятное - кто-то или получил пароль от сайта(что мало вероятно) или взломал сайт(цмс писал сам) и залил шел.

Файлов на хостинге ОЧЕНЬ много и вручную все их пересмотреть нереально.

Смотрел логи - вроде ничего подозрительного.

Выполнял в корне

find . -name "*" -print | xargs grep "sendmail"

Тоже безрезультатно.

Хостинг на фрибсд

Как можно еще найти заразу?

Заранее благодарен.

AU
На сайте с 03.09.2009
Offline
88
adm.unix
#1

1. Обновите дерево портов

2. Установите и пройдитесь одной из этих утилит

Port: chkrootkit-0.49

Path: /usr/ports/security/chkrootkit

Info: A tool to locally check for signs of a rootkit

Port: lynis-1.2.6

Path: /usr/ports/security/lynis

Info: Security and system auditing tool

Port: rkhunter-1.3.4

Path: /usr/ports/security/rkhunter

Info: Rootkit detection tool

3. Установите /usr/ports/ports-mgmt/portaudit

Выполните /usr/local/sbin/portaudit -Fda (увидете какие дырки в вашем ПО есть)

4. Если вы не используете sendmail, выключите его:

/etc/rc.d/sendmail onestop

echo 'sendmail_enable="NONE"' >> /etc/rc.conf

Можете постучать ICQ 586760389. Посмотрим вместе

Unix в вопросах и ответах https://unixhow.com (https://unixhow.com)
[Удален]
#2

Я так понимаю это больше актуально для ВДС,у меня же виртуальный хсотинг следовательно я ни программу установить не могу,да и руткиты как я понимаю взломщик запустить не мог.

Я так понимаю там банально php шел где-то спрятан.

M
На сайте с 16.09.2009
Offline
278
myhand
#3

там именно "sendmail-t" или "sendmail -t" (т.е. с ключем -t) ?

смотрите access.log - вполне вероятно, что с вас через какую-то

дырку в веб-скрипте кто-то проспамился

я бы в первую очередь смотрел на фрагменты кода, где

используется функция mail(). опыт показывает, что это

наиболее популярное место для подобных

багов (не проверяются параметры, etc)

смотрите access.log на предмет подозрительных запросов + файлы на

хостинге - может через дырку и веб-шелл залили. find умеет искать

измененные файлы (по дате) - может иметь смысл посмотреть

их в первую очередь

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
Падает memcached Помощь в фильтрации ботов Как оплатить хостинг Рег.ру
[Удален]
#4
myhand:
там именно "sendmail-t" или "sendmail -t" (т.е. с ключем -t) ?

В тех логах что имне прислали именно слитно написано,но наверное это после копипаста так стало. Я думаю в оригинале было просто с ключом т

А где access.log смотреть. У меня есть логи запросов пользователей и значений которые вернул сервер,на первый взгляд ничего полозрительного.

M
На сайте с 16.09.2009
Offline
278
myhand
#5

логи у хостера просите

[Удален]
#6

Запрос уже отправил. Просто пока они ответят интересно самому покопаться.

C2
На сайте с 14.07.2009
Offline
83
cyber2
#7

хмм а попробовать найти файлы, которые изменялись последние n дней до взлома?

по функции mail можно и не найти если влили закодированный шелл...

[Удален]
#8

Подскажите какой командой в ssh можно найти файлы которые были изменены за последнее время?

Через греб исказ и sendmail и system и eval

C2
На сайте с 14.07.2009
Offline
83
cyber2
#9

у find есть чудный ключ mtime

к примеру

find . -mtime 2d

кстати по access.log посмотрите кстати, к чему обращались чаще всего в то время когда рассылка шла...

[Удален]
#10

Нашел заразу. base64_decode была закодирована.

Спасибо всем кто помогал.

Ушел писать скрипт мониторинга изменения кода и латать дыры:)

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий