Naujausias pranešimas: Samba kritinis pažeidžiamumas
frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

Mano serveris SPAMINA

kvaitulyskvaitulys Naujokas (-ė)
edited 2013 sausio 18 Į Pagalba
Sveiki, gavau pranešimą, kad mano serveris siuntinėja laiškus. Neesu specialistas linux labai jau geras, tačiau atlikau tai ką moku:
pradžiai atjungiau sendmail servisą (service sendmail stop)
toliau pažiūrėjau sendmail logus (tail -f /var/logs/maillog) matosi kad siųsta daug spamo, tačiau kol sendmail sustabdytas tai nieko nevyksta ir tik paleidus sendmail servisą vėl matosi kaip iškarto logina įvairų siunčiamą spamą.
tada sustabdžiau httpd servisą (service httpd stop) tačiau spamas nenustojo ėjęs, teko vėl stabdyti sendmail servisą ir ieškoti internete sprendimų ką daryti, tačiau nieko neradau. Gal galite padėti?

p.s. peržiūrėjus dar kelis log failus, matosi jog bandoma buvo įsilaužti į serverį, kadangi mėginimai prisiloginti įvairiais vardais buvo. kaip suprantu php kode neturėtų būti įterptas joks kenkėjiškas kodas, nes httpd sustabdžius laiškai vistiek siuntinėjasi.
# cat /etc/redhat-release
CentOS release 5.5 (Final)

Komentarai

  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 sausio 17
    Gera diena,

    patikslinkite serverio hostname, nes jūsų paskyroje yra tik serveris kuris naudoja CentOS 6 OS.
  • kvaitulyskvaitulys Naujokas (-ė)
    edited 2013 sausio 17
    į AŽ nusiunčiau.
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 sausio 17
    Dėkoju už patikslinimą.

    Akivaizdu jog SPAM siuntimas yra vygdomas programiniu būdu, t.y. į jūsų nurodytą svetainę yra įkrautas kenkėjiškas kodas kuris vykdo siuntimą.

    Kaip matau, jūsų svetainė naudoja Joomla TVS, joje yra teksto redaktorių (editors) kurie turi pažeidžiamumą kuris leidžia tokio pobūdžio kenkėjišką veiklą.

    Sprendimas: peržiūrėkite VISUS redaktorius ir atnaujinkite / pašalinkite nenaudojamus. Ypač dėmesį atkreipkite į JCE redaktorių.
  • kvaitulyskvaitulys Naujokas (-ė)
    edited 2013 sausio 17
    Dėkui patikrinsiu.
    Bet kodėl sustabdžius httpd serisą vistiek siuntinėjama yra?
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 sausio 17
    Radus kenkėjiškus failus, panagrinėkite jo source kodą ir pamatysite ;)
  • kvaitulyskvaitulys Naujokas (-ė)
    edited 2013 sausio 17
    gerai mėginsiu juos rasti pirma, nusimato ilgas darbas, neina kažko panašaus panaudoti:
    find /home -type f -iname "*.php" -print0 | xargs -0 egrep 'gzuncompress\(base64_decode'
    
  • kvaitulyskvaitulys Naujokas (-ė)
    edited 2013 sausio 17
    Ei gal dar yra kokių minčių? Atrodo viską aptikrinau, nieko neradau. Patikrinau su maldetect, clam, rkhunter.. niekas nieko, patikrinau kategorijas, failus, userius kas sukure kategorija/failą, daugiau jau neturiu minčių :) Gal dar yra koks nors budas spaminti iš serverio?

    Gal čia padės ką nors:
    Jan 16 23:53:34 *** sendmail[30555]: r0GLrBX3030314: to=<gibbtd1@juno.com>, c
    tladdr=<apache@******.***> (48/48), delay=00:00:13, xdelay=00:00:13, mailer=esmtp
    , pri=126364, relay=mx.dca.untd.com. [64.136.44.37], dsn=2.0.0, stat=Sent (OK
    id AABJRQJL3A6ZAMNJ)
    

    tiek katalogams tiek failams buvo uždėtos 0777 teisės :| teises atstačiau. katalogams 0775, failams 0664
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2013 sausio 18
    Ištrinkite ir iš naujo įdiekite naujausią JCE editor versiją Joomla TVS'e.
Norėdami palikti komentarą, turite prisijungti arba registruokis.
Dedikuoti.lt
Šiame forume rasite informaciją kaip atlikti serverio administravimą, konfigūravimą, įvairių tarnybų bei papildomų aplikacijų diegimą. Taip pat pateiksime rekomendacijų, skirtų serverių saugumui, monitoringui ir optimizavimui. Kviečiame prisijungti prie dedikuotų serverių administratorių bendruomenės, dalyvauti diskusijose ir praplėsti savo žinias serverių administravimo srityje!
© 2007 - 2023 Dedikuoti.lt forumas, visos teisės saugumos.