Взломали сервер Ubuntu

12
albion
На сайте с 07.10.2005
Offline
247
2222

Взломали виртуальный сервер и начали спам рассылку. :madd:

Каким образом можно узнать:

Как идет отправка писем - через скрипт, лежащий на сервере, или через какую либо учетную запись?

В mail.log только такие записи:

Aug 30 06:52:29 название-сервера sm-mta[32610]: q7U2qIww032610: from=<ashton[сабака]cavtel.net>, size=7277, class=0, nrcpts=5, msgid=<E39CE756F870455C8957863A8AAB7488@kfdij>, proto=ESMTP, daemon=MTA-v4, relay=static.vdc.com.vn [113.162.60.152] (may be forged)

Сервер Ubuntu 8.0.4. На данный момент через ISPmanager отключил SMTP

M
На сайте с 16.09.2009
Offline
278
#1

Через скрипт, судя по всему (смотрите соответствующий этому from виртуальный хост).

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
albion
На сайте с 07.10.2005
Offline
247
#2
myhand:
Через скрипт, судя по всему (смотрите соответствующий этому from виртуальный хост).

Где смотреть? Такого виртуального хоста нету на моем сервере.

L
На сайте с 13.01.2011
Offline
114
#3

шеллы ищи на сайтах

Контакты-icq 535609 ()
albion
На сайте с 07.10.2005
Offline
247
#4
Logger:
шеллы ищи на сайтах

Искал. Это первое, что делал. Ничего не нашел.

Не новых файлов, не записей в логе апача подходящих нет.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#5

ТС, я в свое время использовал простейший врапер на shell, который подменял текущий бинарик (sendmail или что там у вас), делал логирующие записи о каждом обращении к нему, а следом передавал весь набор аргументов на оригинальный бинарь....

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
albion
На сайте с 07.10.2005
Offline
247
#6
Romka_Kharkov:
ТС, я в свое время использовал простейший врапер на shell, который подменял текущий бинарик (sendmail или что там у вас), делал логирующие записи о каждом обращении к нему, а следом передавал весь набор аргументов на оригинальный бинарь....

Вроде понял, что Вы написали, но знаний недостаточно, что бы такое сделать. Более простых способов узнать откуда обращаются к sendmail нет?

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#7
albion:
Вроде понял, что Вы написали, но знаний недостаточно, что бы такое сделать. Более простых способов узнать откуда обращаются к sendmail нет?

Почему же нет, есть, но есть много но !

Во первых вы рут на сервере и имеете доступ к логам, я полагаю там описано не мало, та строка , что вы привели , как вы понимаете мало данных дает о том кто отправил, во первых я рекомендую вам перехватить очередь... т.е посмотреть полные хидеры письма, если у вас например отправка происходит через PHP и установлены mailheaders то вы увидите из какого виртуального хоста идет рассылка.... если же у вас все серо и просто, то можно никогда не найти .... ибо клиент который поставил в очередь это письмо на вашем сервере для вас же получается анонимным, любой клиент мог это сделать.... а у вас по факту нет путей слежения за этим, что в корне как бы противоречит логике отправки почты ... об этом надо беспокоится в тот момент когда вы почтовик ставите .... разве вам не интересно кто почту от вас шлет? А сейчас у вас проблема, вы кусок лога вывалили который ничего не решает ...... помочь по таким данным просто невозможно.... изучайте логи и хедеры в первую очередь, если там пусто будет ..... то тогда вам надо смотреть в сторону php (mailheaders), это даст возможность хотя бы проверить не шлют ли через PHP скрипты...., могут слать и через запущенные PERL скрипты, но вы их должны видеть в выводе 'ps auxw', посмотрите, нет ли там чего-то подозрительного.... (рекомендую сразу процесс не убивать, а пропустить его через lsof, что бы понять откуда он запущен и что это), так же посмотрите папки /tmp и /var/tmp, обычно сливается туда весь треш (тут рекомендую использовать nosuid,noexec опции при монтировании FS). Ну и как последний вариант, если все таки самому разобраться нет сил - обращайтесь за профессиональной помощью, тут да и не только тут, полно специалистов которые сквозь свой опыт через 10 минут скажут вам кто и как слал спам... но угадать это по 1му сообщению из maillog просто не реально :D Кстати, вы точно уверены что домена "cavtel.net" у вас нет на сервере?

Еще попробуйте сделать "cat <ваш лог фай> | grep q7U2qIww032610", возможно вы увидите дополнительные данные касающиеся цитируемой вами отправки.

Да , кстати! Не мало важный вопрос! Как вы поняли что идет спам рассылка с вашего сервера?

Пока что все, пробуйте, сообщайте о результатах.

albion
На сайте с 07.10.2005
Offline
247
#8
Romka_Kharkov:
Во первых вы рут на сервере и имеете доступ к логам, я полагаю там описано не мало, та строка , что вы привели , как вы понимаете мало данные дает о том кто отправил,

Да, рут.

Romka_Kharkov:
т.е посмотреть полные хидеры письма

Есть полный заголовок письма. Но из него так же не понятно:

Received: from mxfront6.mail.yandex.net ([127.0.0.1]) by mxfront6.mail.yandex.net with LMTP id M8KK9ZQP for <consultart@ya.ru>; Thu, 30 Aug 2012 07:22:08 +0400
Received: from web-admin.ru (web-admin.ru [46.254.18.164]) by mxfront6.mail.yandex.net (nwsmtp/Yandex) with ESMTP id KbQWsrT9-M8Qm3lB0; Thu, 30 Aug 2012 07:22:08 +0400
X-Yandex-Front: mxfront6.mail.yandex.net
X-Yandex-TimeMark: 1346296928
X-Yandex-Spam: 4
Authentication-Results: mxfront6.mail.yandex.net; spf=softfail (mxfront6.mail.yandex.net: transitioning domain of bresnan.net does not designate 46.254.18.164 as permitted sender) smtp.mail=kylie@bresnan.net
Received: from 202-218-211-101-sv.cb21.co.jp (202-218-211-101-sv.cb21.co.jp [202.218.211.101] (may be forged)) (authenticated bits=0) by web-admin.ru (8.14.2/8.14.2/Debian-2build1) with ESMTP id q7U2pJwd032519; Thu, 30 Aug 2012 06:51:23 +0400
Message-ID: <59C43B239ADA4661A8F1E86A2F26B7F9@clgx>
Reply-To: =?windows-1251?B?3erx7+Xw8ujn4CDv8O7l6vLt7i3x7OXy7e7p?=
=?windows-1251?B?IOTu6vPs5e3y4Pbo6A==?= <stroi-expertiza@qip.ru>
From: =?windows-1251?B?3erx7+Xw8ujn4CDv8O7l6vLt7i3x7OXy7e7p?=
=?windows-1251?B?IOTu6vPs5e3y4Pbo6A==?= <kylie@bresnan.net>
To: <info@stylol.ru>, <amtex@ipost.ru>, <consultart@ya.ru>, <info@imereli.ru>, <info@marketingmedia.ru>
Subject: =?windows-1251?B?zc7C28kg7+7w/+Tu6iDR0tDOyNLFy9zNzskg?=
=?windows-1251?B?3crRz8XQ0sjH2w==?=
Date: Thu, 30 Aug 2012 05:51:25 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_09B8_01CD8673.7DB4E2E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Mail 6.0.6001.18416
X-MimeOLE: Produced By Microsoft MimeOLE V6.0.6001.18645
Return-Path: kylie@bresnan.net
X-Yandex-Forward: b25ef70c56078843d3023f36d940b6ce =======================================================
Romka_Kharkov:
получается анонимным

Анониму из вне отправка запрещена и сейчас установил, что бы и с сервера отправка была невозможна анониму. Но после этого письма с сайтов не уходят :)

Romka_Kharkov:
не шлют ли через PHP скрипты...., могут слать и через запущенные PERL скрипты

Если через них шлют, то скорее всего должны быть данные об этом в логах апача, а там только обычные страницы сайтов.

Romka_Kharkov:
посмотрите папки /tmp и /var/tmp

в tmp только сессии, а в /var/tmp - пусто

IL
На сайте с 20.04.2007
Offline
418
#9
Aug 30 06:52:29

Если отправка через скрипт (веб) - будет соответствующая запись в логах сервера, искать по дате (посмотреть формат лога - могут отличаться). Если указанного хоста нет - можно искать в файлах cavtel.net

grep -rl 'cavtel.net' /var/www

Искать по дате изменения файлов (2 дня назад).. //или -mtime

find /var/www -type f -сtime -2
... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
albion
На сайте с 07.10.2005
Offline
247
#10
ivan-lev:
Искать по дате изменения файлов (2 дня назад).. //или -mtime

кроме сессий и логов ничего нет :(

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий