Сведения о вопросе

FromRussia

15:06, 5th August, 2020

С сервера рассылают спам

Просмотров: 318   Ответов: 8

По логам мунина заметили, что периодически в spool накапливается много писем, а sendmail начиает судорожно их рассылать, анализ показал, что от нас рассылают спам. Сейчас спасаемся тем, что очищаем очередь и рестартим sendmail + убиваем процесс perl.

Пароли поменял, антивирусом прошёлся, rkhunter вроде ничего особенного не видит, никаких подозрительных файлов на виду нет. Что делать уже не знаю, искоренить заразу не получается.

Какие шаги ещё можно предпринять, чтобы найти злосчастный шелл?
image
image

Сервер Centos



  Сведения об ответе

#hash

13:41, 9th August, 2020

ООО А у меня была история, когда я в момент взлома сервера нашёл левый файл, начал искать что да как.
Нашёл «Ирк Демона» копался в его настройках, там был логин пароли для входа на ирк канал.
Вошёл, 2 дня висел, потом подал признаки жизни, меня кикнули но потом в личку написали, мол как я попал на этот канал?
я сказал что друг подсказал… меня выкинуло с сервера, на след день я сново пришёл, тут чувак дал комманду ботам, мол всё ахтунг, !die все свалили, а я остался, он начал более детально беседовать, я сказал что пришёл по ирк демону, он рассказал что продаёт сервера спаммерам, по 50-100 баксов за штуку.
сам он из малазии, рассказал как попал на мой сервер… рассказал что я верно всё удалил. мы попращались :)

А так было забавно смотреть как он даёт комманды ирк боту…

PS в канале было максимум 250 «серверов»


  Сведения об ответе

ЯЯ__4

23:28, 10th August, 2020

Точно такая же ситуация была пол года назад на Debian-сервере дома. Даже провайдер банил «за вирусы». Тогда я sendmail снес и поставил лишь недавно. Пока проблем нет, может какой-то апдейт решил, а может когда сносил все плохое потерлось.

По IP, кстати, это были сервера гугла где-то ближе к австралии, что очень удивило оО


  Сведения об ответе

LIZA

23:15, 15th August, 2020

Надо было заранее заручиться поддержкой системного администратора.

Не обязательно брать человека в штат — есть много предложений об аутсорсинге. Сердито и недорого, но от таких ситуаций будете застрахованы.

Ничто не мешает обратиться к нему сейчас, и провести аудит сервера. Гугль в помощь и удачи!


  Сведения об ответе

PHPH

14:57, 25th August, 2020

Админ был, но не оправдал ожиданий, поэтому сейчас мы немного без него. Никто из знакомых админов пока проблему решить не смог.


  Сведения об ответе

qwerty101

06:18, 9th August, 2020

  Сведения об ответе

SILA

12:58, 2nd August, 2020

Обычно ставят лимит по отсылке сообщений в день, к таким хостингам боты резко теряют интерес.


  Сведения об ответе

9090

10:30, 21st August, 2020

Вначале надо бы определить, откуда рассылают спам. Либо у вас открытый relay, либо с помощью уязвимости в скриптах. Попробуйте это посмотреть по логам sendmail или по логам http/nginx. Логи nginx удобно анализировать, отсортировав по строке запроса типа такого:
cat nginx_log | awk '{print $7}' | sort | uniq -c |egrep 'http|ftp'

egrep делается, т.к. при уязвимостях в скриптах запросы могут выглядеть как index.php?f=http://anydomain.tld/somefile.txt


  Сведения об ответе

fo_I_K

20:53, 23rd August, 2020

я бы посоветовал к админу обратиться всё-же. Необходимо выяснить, каким именно образом рассылают спам. Может, у вас открытый релей? Или уязвимый скрипт?


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться