- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветствую!
Уже второй раз приходит абуза с hetzner о присутствии на сервере malware.
Присылают техданные на IP, пример:
Debian. В логах ничего не нашел.
Настроил/прогнал maldet, прошел по всем сайтам. Ничего не нашел. На сервере стоит настроеный ufw. Выше указанный порт в нем закрыт.
Где искать? Заранее благодарю!
Никто не знает?
В логах ничего не нашел.
А в каких логах искали?
Выше указанный порт в нем закрыт.
В каком смысле порт закрыт? Это порт исходящего TCP-подключения, его приложение, в данном случае ботнет андромеда, назначает себе автоматически. Порты исходящих подключений обычно файрволами не закрывают, закрывают входящие порты. Закрывать, кстати, бесполезно. Программу которая это делает ищите.
Домен захватили taloodd.ru майкрасофт для борьбы с вирусом.
И они теперь долбят всех, кто к ним обращается.
Вы проверяли, что у вас порт закрыт 60834 на вход и выход? Правила смотрели руками?
В любом случаи, мой вариант действий делать бэкап сайтов, если конечно у вас сайтовый сайт. И полностью переустанавливать систему. Где-то вы не успели её обновить или какой-то софт попался кривой.
---------- Добавлено 27.12.2018 в 20:40 ----------
Конечно можете попробовать какой-нибудь clamav антивирусник, но если ничего не найдёт, тогда всё.
Если с панелькой с быстрым восстановлением бекапа и не тьма сайтов, то переустановить и восстановить быстренько. Ну или антивирусником и правда погонять. Как вариант найти очень толкового системного администратора.
А смысл? Быстрее или дешевле, всё переустановить.
А в каких логах искали?
По всем логам искал DST IP, порт. Плюс по времени (таймстампы из абуз)
в auth.log тоже чисто
Программу которая это делает ищите.
Вот и вопрос как ее найти, на сервер все ставилось только из пакетов.
Удалил все сомнительное и неиспользуемое из dpkg
но нет уверенности что поможет
В любом случаи, мой вариант действий делать бэкап сайтов, если конечно у вас сайтовый сайт. И полностью переустанавливать систему. Где-то вы не успели её обновить или какой-то софт попался кривой.
Бекапы понятно, переустановка конечно вариант, но много перенастраивать придется. Хотелось бы по возможности избежать этого.
Антивирусником гонял, clamav конкретно нет, сейчас прогоню, посмотрим.
всё переустановить.
:(
Конфиги тоже можно сохранять, они все папке /etc/
Если малваря соединяется со сторонним сервером, то в логах копаться бесполезно, нужно завести лог исходящих соединений с помощью tcpdump к примеру. И блокировать их заодно iptables используя баш скрипты.
На вирусы прогнал, ничего не нашло.
С tcpdump интересно. Учитывая что IP в абузах статичен, поставил по нему фильтрацию.
Напишу если найду чего.
Хецнер вообще маниакальный к абузам, советую сьезжать с него, так как пару абуз подряд и серв отрубят без возможности восстановления.
Тут не совсем обычная абуза, а абуза из CERT-Bund Reports
Насколько я понял имеет рекоммендательный характер
По крайне мере, пока что...