admin1s

Рейтинг
16
Регистрация
12.05.2012
Лог httpd
Andreyka:
Есть что-то другое: mod_security.

Большое спасибо .Попробую ставить

Лог httpd
myhand:
Для того, чтобы установить вебшелл - права рута не нужны. Но вебшелл может пригодиться для их дальшейшего получения ;)

Извините что злоупотребляю вашим терпением, скажите программа fail2ban может препятствовать их получению, или есть что то другое?

Лог httpd
myhand:
Для вас мог постараться добрый анонимный друк 😂

И этот друк с под рута установил вебшел?

Лог httpd
Andreyka:
Веб шелл же
Я писал

WebShell - удаленная UNIX оболочка? Я ее не устанавливал.Если я правильно понимаю происходящее.

Лог httpd
Andreyka:
Спам с вероятностью 50%

Спасибо.Вы правы на 100%. Вот еще бы узнать ответ на первую часть вопроса ( лог httpd ),а то нигде не могу его найти . Даже думается что у меня у первого появились такие записи.

Лог httpd
myhand:
Нанять кого-то для аудита сервера и исправления ситуации.

То, что вы процитировали - может быть чем угодно. Может спам шлют, может какая-то мониторилка рассылает уведомления (судя по адресам) о том, что "сервер упал".

Вы правы .Скорее всего сообщение о падении.Но теперь сервер не падает хотя процессы sandmail не маленькие .В логах такое :

Sep 11 12:33:56 host sendmail[5873]: q8B9Xu8L005873: from=<hkkvp@kvv1936.nl>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=host86-141-12-186.range86-141.btcentralplus.com [86.141.12.186]

Sep 11 12:33:57 host sendmail[5855]: q8B9XlcU005855: pd956a66e.dip0.t-ipconnect.de [217.86.166.110] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Sep 11 12:33:57 host sendmail[5815]: q8B9Xd2S005815: pd956a66e.dip0.t-ipconnect.de [217.86.166.110] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Sep 11 12:34:00 ohost sendmail[5827]: q8B9XgvG005827: pd956a66e.dip0.t-ipconnect.de [217.86.166.110] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Это случаем не спам?

Лог httpd
myhand:
Нанять кого-то для аудита сервера и исправления ситуации.

То, что вы процитировали - может быть чем угодно. Может спам шлют, может какая-то мониторилка рассылает уведомления (судя по адресам) о том, что "сервер упал".

Адрес вроде один и раз 100 повторяется.

Лог httpd
Andreyka:
Похоже на webshell, но точно сказать не берусь.

Если это так то как это исправить, после этой записи в логе упал сервер ( увеличились сервисы SMTP - более 150 ) в логах mail в это время были такие записи:

Sep 10 17:11:03 домен.ru spamd[32429]: prefork: child states: II

Sep 10 17:11:03 домен.ru sendmail[32247]: q8AEB2js032245: to=\\virtuser_567, ctladdr=<root@домен.ru> (567/537), delay=00:00:01, xdelay=00:00:01, mailer=local, pri=30850, dsn=2.0.0, stat=Sent

Sep 10 17:11:05 домен.ru sendmail[32044]: STARTTLS=server, relay=[211.220.193.172], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

Sep 10 17:11:09 домен.ru sendmail[32272]: STARTTLS=server, relay=[211.220.193.172], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

Sep 10 17:11:09 домен.ru sendmail[32274]: STARTTLS=server, relay=[211.220.193.172], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256......................

если это как то связано.Хост изменен.

Дисковая квота пользователей

Ок.Спасибо обращусь.Последний вопрос,это не может быть связано с ротацией, ибо сообщение панели не в менеджере файлов , а в WWW доменах, доменных именах, базы ?

---------- Добавлено 08.09.2012 в 13:10 ----------

Спасибо всем за помощь, проблема вроде в ротации.

Дисковая квота пользователей
poiuty:
У вас выделенный сервер или VPS?

Виртуальный DS

1 2345 6
Всего: 51