С сервера рассылают спам

По логам мунина заметили, что периодически в spool накапливается много писем, а sendmail начиает судорожно их рассылать, анализ показал, что от нас рассылают спам. Сейчас спасаемся тем, что очищаем очередь и рестартим sendmail + убиваем процесс perl.

Пароли поменял, антивирусом прошёлся, rkhunter вроде ничего особенного не видит, никаких подозрительных файлов на виду нет. Что делать уже не знаю, искоренить заразу не получается.

Какие шаги ещё можно предпринять, чтобы найти злосчастный шелл?
image
image

Сервер Centos
  • Вопрос задан
  • 6958 просмотров
Пригласить эксперта
Ответы на вопрос 8
@odmin4eg
ООО А у меня была история, когда я в момент взлома сервера нашёл левый файл, начал искать что да как.
Нашёл «Ирк Демона» копался в его настройках, там был логин пароли для входа на ирк канал.
Вошёл, 2 дня висел, потом подал признаки жизни, меня кикнули но потом в личку написали, мол как я попал на этот канал?
я сказал что друг подсказал… меня выкинуло с сервера, на след день я сново пришёл, тут чувак дал комманду ботам, мол всё ахтунг, !die все свалили, а я остался, он начал более детально беседовать, я сказал что пришёл по ирк демону, он рассказал что продаёт сервера спаммерам, по 50-100 баксов за штуку.
сам он из малазии, рассказал как попал на мой сервер… рассказал что я верно всё удалил. мы попращались :)

А так было забавно смотреть как он даёт комманды ирк боту…

PS в канале было максимум 250 «серверов»
Ответ написан
Комментировать
Vas3K
@Vas3K
Точно такая же ситуация была пол года назад на Debian-сервере дома. Даже провайдер банил «за вирусы». Тогда я sendmail снес и поставил лишь недавно. Пока проблем нет, может какой-то апдейт решил, а может когда сносил все плохое потерлось.

По IP, кстати, это были сервера гугла где-то ближе к австралии, что очень удивило оО
Ответ написан
@Jazzist
Надо было заранее заручиться поддержкой системного администратора.

Не обязательно брать человека в штат — есть много предложений об аутсорсинге. Сердито и недорого, но от таких ситуаций будете застрахованы.

Ничто не мешает обратиться к нему сейчас, и провести аудит сервера. Гугль в помощь и удачи!
Ответ написан
Комментировать
ilya_compman
@ilya_compman Автор вопроса
Админ был, но не оправдал ожиданий, поэтому сейчас мы немного без него. Никто из знакомых админов пока проблему решить не смог.
Ответ написан
Комментировать
Dennion
@Dennion
Разработчик PHPShop CMS.
Обычно ставят лимит по отсылке сообщений в день, к таким хостингам боты резко теряют интерес.
Ответ написан
Комментировать
@videns
Вначале надо бы определить, откуда рассылают спам. Либо у вас открытый relay, либо с помощью уязвимости в скриптах. Попробуйте это посмотреть по логам sendmail или по логам http/nginx. Логи nginx удобно анализировать, отсортировав по строке запроса типа такого:
cat nginx_log | awk '{print $7}' | sort | uniq -c |egrep 'http|ftp'

egrep делается, т.к. при уязвимостях в скриптах запросы могут выглядеть как index.php?f=http://anydomain.tld/somefile.txt
Ответ написан
Комментировать
charon
@charon
я бы посоветовал к админу обратиться всё-же. Необходимо выяснить, каким именно образом рассылают спам. Может, у вас открытый релей? Или уязвимый скрипт?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы