Форум Сайтостроение Администрирование серверов

Наличие ботнета на сервере (Dridex botnet controller)

AM
На сайте с 10.06.2006
Offline
133
ApmeM
1960

Всем привет!

Пришло сообщение от спамхауса о наличии на сервере ботнета (Problem: Dridex botnet controller).

Как выявить ботнет и удалить с сервера?

KVM-VDS 239 руб/месяц: 2Gb RAM/ 24Gb SSD/ ДЦ в России (http://goo.gl/VaLJpY) кредитный калькулятор (http://credit-calculator-online.ru/) на все случаи жизни
L
На сайте с 13.01.2011
Offline
132
Logger
#1

https://feodotracker.abuse.ch/ что то в этом роде

netstat -aptn
netstat -apun

возможно какой то левый процесс на левом порту

ищи php шеллы , запрети в php

disable_functions = exec,passthru,shell_exec,system,proc_open,popen
Контакты-icq 535609 ()
AM
На сайте с 10.06.2006
Offline
133
ApmeM
#2

Сервер есть в списке на https://feodotracker.abuse.ch/

netstat -aptn 


root@web:~# netstat -aptn

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1635/rpcbind

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      31055/nginx

tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      1466/exim4

tcp        0      0 185.11.247.226:53       0.0.0.0:*               LISTEN      3238/named

tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      3238/named

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      16008/sshd

tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      936/postgres

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      3238/named

tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      1466/exim4

tcp        0      0 0.0.0.0:8443            0.0.0.0:*               LISTEN      21183/ld-linux.so.2

tcp        0      0 185.11.247.226:443      0.0.0.0:*               LISTEN      31055/nginx

tcp        0      0 185.11.247.226:1500     0.0.0.0:*               LISTEN      3819/ihttpd

tcp        0      0 0.0.0.0:33800           0.0.0.0:*               LISTEN      1666/rpc.statd

tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      2938/mysqld

tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      1466/exim4

tcp        0      0 185.11.247.226:80       85.142.68.14:32706      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:57452    185.11.247.226:80       TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.142.68.14:32707      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:80       85.15.84.245:50103      ESTABLISHED 31057/nginx: worker

tcp        0      0 185.11.247.226:80       85.15.84.245:50091      ESTABLISHED 31057/nginx: worker

tcp        0      0 185.11.247.226:43201    185.11.247.226:81       TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.15.84.245:50097      ESTABLISHED 31057/nginx: worker

tcp        0      0 185.11.247.226:80       108.171.254.234:54803   TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.142.68.14:32705      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:80       85.15.84.245:50099      ESTABLISHED 31057/nginx: worker

tcp        0      0 185.11.247.226:36093    108.160.172.237:443     TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.15.84.245:50093      ESTABLISHED 31057/nginx: worker

tcp        0      0 185.11.247.226:80       85.142.68.14:32715      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:36094    108.160.172.237:443     TIME_WAIT   -

tcp        0      0 185.11.247.226:80       188.162.229.4:58711     TIME_WAIT   -

tcp        0      0 185.11.247.226:80       188.162.229.4:46066     TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.142.68.14:32691      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:80       188.162.229.4:34815     TIME_WAIT   -

tcp        0      0 185.11.247.226:43204    185.11.247.226:81       TIME_WAIT   -

tcp        0      0 185.11.247.226:80       188.162.229.4:17513     TIME_WAIT   -

tcp        0      0 185.11.247.226:43206    185.11.247.226:81       TIME_WAIT   -

tcp        0   1968 185.11.247.226:22       94.125.54.231:54548     ESTABLISHED 29299/0

tcp        0      0 185.11.247.226:35753    54.225.171.7:443        TIME_WAIT   -

tcp        0      0 185.11.247.226:80       188.162.229.4:40339     TIME_WAIT   -

tcp        0 132198 185.11.247.226:8443     184.4.0.46:26838        ESTABLISHED 21184/ld-linux.so.2

tcp        0      0 185.11.247.226:80       185.11.247.226:57449    TIME_WAIT   -

tcp        0      0 185.11.247.226:43211    185.11.247.226:81       TIME_WAIT   -

tcp        0      0 185.11.247.226:43200    185.11.247.226:81       TIME_WAIT   -

tcp        0      0 185.11.247.226:35755    54.225.171.7:443        TIME_WAIT   -

tcp        0      0 185.11.247.226:80       188.162.229.4:6129      TIME_WAIT   -

tcp        0      0 185.11.247.226:43198    185.11.247.226:81       TIME_WAIT   -

tcp        0      0 185.11.247.226:80       85.142.68.14:32714      ESTABLISHED 31056/nginx: worker

tcp        0      0 185.11.247.226:80       85.15.84.245:50101      ESTABLISHED 31057/nginx: worker

tcp6       0      0 :::111                  :::*                    LISTEN      1635/rpcbind

tcp6       0      0 :::81                   :::*                    LISTEN      8030/apache2

tcp6       0      0 :::465                  :::*                    LISTEN      1466/exim4

tcp6       0      0 :::21                   :::*                    LISTEN      26354/proftpd: (acc

tcp6       0      0 :::53                   :::*                    LISTEN      3238/named

tcp6       0      0 :::22                   :::*                    LISTEN      16008/sshd

tcp6       0      0 ::1:5432                :::*                    LISTEN      936/postgres

tcp6       0      0 ::1:953                 :::*                    LISTEN      3238/named

tcp6       0      0 :::25                   :::*                    LISTEN      1466/exim4

tcp6       0      0 :::587                  :::*                    LISTEN      1466/exim4

tcp6       0      0 :::45963                :::*                    LISTEN      1666/rpc.statd

tcp6       0      0 185.11.247.226:81       185.11.247.226:43214    TIME_WAIT   -

tcp6       0      0 185.11.247.226:81       185.11.247.226:43213    TIME_WAIT   -

tcp6       0      0 185.11.247.226:81       185.11.247.226:43216    TIME_WAIT   -

tcp6       0      0 185.11.247.226:81       185.11.247.226:43217    TIME_WAIT   -

tcp6       0      0 185.11.247.226:81       185.11.247.226:43212    TIME_WAIT   -

root@web:~#

netstat -apun 


root@web:~# netstat -apun

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

udp        0      0 0.0.0.0:962             0.0.0.0:*                           1635/rpcbind

udp        0      0 127.0.0.1:994           0.0.0.0:*                           1666/rpc.statd

udp        0      0 0.0.0.0:57050           0.0.0.0:*                           1666/rpc.statd

udp        0      0 185.11.247.226:53       0.0.0.0:*                           3238/named

udp        0      0 127.0.0.1:53            0.0.0.0:*                           3238/named

udp        0      0 0.0.0.0:111             0.0.0.0:*                           1635/rpcbind

udp6       0      0 :::962                  :::*                                1635/rpcbind

udp6       0      0 ::1:54455               ::1:54455               ESTABLISHED 936/postgres

udp6       0      0 :::34785                :::*                                1666/rpc.statd

udp6       0      0 :::53                   :::*                                3238/named

udp6       0      0 :::111                  :::*                                1635/rpcbind

root@web:~#


---------- Добавлено 22.05.2015 в 16:41 ----------

Я так понимаю проблема кроется здесь: 

tcp        0 132198 185.11.247.226:8443     184.4.0.46:26838        ESTABLISHED 21184/ld-linux.so.2
L
На сайте с 13.01.2011
Offline
132
Logger
#3

http://www.spamhaus.org/sbl/query/SBL257276 и порт ведь указан ;)

netstat -aptn | grep 8443

ld-linux.so.2

AM
На сайте с 10.06.2006
Offline
133
ApmeM
#4

как его грохнуть-то?) чтобы не поднялся

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5

сначала надо определить, процесс сам запускается/перезапускается (крон как вариант) или вместе с каким то другим процессом(где добавлен вызов)

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий