Skocz do zawartości
gorus1

Skrypt PHP wysła spam z VPS

Polecane posty

Witam wszystkich!
Od niedawna zacząłem zabawę z administracją serwerem VPS. Mam prośbę z interpretacją loga maillog gdyż mam podejrzenie, że w katalogu /home/admin siedzi jakiś skrypt wysyłający spam mimo iż skanowałem ten katalog maldet. Bardzo proszę o interpretację loga czy moje obawy są uzasadnione gdyż jeszcze nie bardzo się w tym orientuję. Poniżej fragment loga:

Apr 6 12:31:58  spamd[11854]: spamd: connection from localhost.localdomain [127.0.0.1] at port 47661
Apr 6 12:31:58  spamd[11854]: spamd: setuid to admin succeeded
Apr 6 12:31:58  spamd[11854]: spamd: processing message <2014022110505168711114@g664.com> for admin:1002
Apr 6 12:32:00  spamd[11854]: spamd: identified spam (7.8/5.0) for admin:1002 in 1.7 seconds, 208406 bytes.
Apr 6 12:32:00  spamd[11854]: spamd: result: Y 7 - BAYES_60,DEAR_FRIEND,HTML_IMAGE_ONLY_24,HTML_MESSAGE,RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE scantime=1.7,size=208406,user=admin,uid=1002,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=47661,mid=<2014022110505168711114@g664.com>,bayes=0.634747,autolearn=no
Apr 6 12:32:00  spamd[11853]: prefork: child states: II

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cron, rc.local, aktywne procesy i wszystko co może wykonywać się okresowo.

 

Nie zaszkodzi przejechanie rkhunter'em.

 

Z powyższego loga wiesz mniej więcej tyle, że wirusik jest lokalnie, tzn. może to być php, rootkit, cokolwiek co jest na serwerze, a przy źle skonfigurowanych serwerach i zdalnie, czyli nie mówi w zasadzie nic.

 

W ostateczności deluser admin.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za szybką odpowiedź!

W rc.local jest jedynie



/etc/init.d/startips start

natomiast po przeskanowaniu rkhunter'em okazało się, że ma podejrzane 3 pliki i 3 aplikacje, ale tu znowu jestem za cienki jeżeli chodzi o interpretację. Poniżej wklejam fragment loga ze skanu rkhunter'em poniważ nie mam uprawnień do zamieszczania całych plików:



[02:21:20] System checks summary
[02:21:20] =====================
[02:21:20]
[02:21:20] File properties checks...
[02:21:20] Files checked: 144
[02:21:20] Suspect files: 3
[02:21:20]
[02:21:20] Rootkit checks...
[02:21:20] Rootkits checked : 381
[02:21:20] Possible rootkits: 0
[02:21:20]
[02:21:20] Applications checks...
[02:21:20] Applications checked: 9
[02:21:20] Suspect applications: 3
[02:21:20]
[02:21:20] The system checks took: 3 minutes and 13 seconds
[02:21:20]
[02:21:20] Info: End date is Mon Apr  7 02:21:20 CEST 2014


W ostateczności mogę usunąć usera admin, ale jak przeniosę pliki z katalogu admina na innego usera, to może znów się zacząć wysyłać ten spam. Może jakoś inaczej się da zablokować wysyłkę tego spamu?

Edytowano przez gorus1 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ten log jest za mało szczegółowy, żeby cokolwiek powiedzieć.

 

Pewnie do jakiegoś skryptu ktoś wrzucił funkcję mail() i abusuje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W załączniku pełen log, ale mam jeszcze pytanie odnośnie IP tj. rozumiem, że IP serwera mogło wpaść na blacklist i np. w poczcie GMAIL wiadomości wysłane z konta pocztowego z mojego VPS lądowały w SPAM poczty GMAIL, ale czy po zmianie adresu IP na inny teoretycznie "czysty" np. GMAIL nie powinien już wrzucać do smam-u? U operatora swojego VPS dokupiłem drugi adres IP i ustawiłem go dla wiadomości wychodzących, ale i tak lądują one w SPAM skrzynek GMAILA. Czy to normalne, że tak się dzieje? Operator twierdzi, że to normlne i nic nie da się z tym zrobić, ale coś mi się wierzyć nie chce...

rkhunter.txt

Edytowano przez gorus1 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeżeli ustawisz dla domeny, z której wysyłasz pocztę, rekord spf, zastosujesz DKIM i na końcu DMARC, poczta w gmailu przestanie wpadać w spam. Poza tym przydałby się pełny log z programu pocztowego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za sugestie, ale żeś mnie zabił tymi pojęciami tj. spf, DKIM i DMARC - mam VPS z direct admin, gdzie to się ustawia? Otrzymałem VPS już skonfigurowany i być może coś operator źle ustawił... Co do pełnego loga z programu pocztowego to przepraszam, ale nie rozumiem o jakiego loga chodzi, użytkownicy i ja też nie korzystamy z programów pocztowych tylko z webmaila...

Poza tym pełny log obojętnie jakiej wysłanej wiadomości?

Edytowano przez gorus1 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja ostatnio mam problem, bo dostają się jakieś cwaniaki do mojego serwera przez WordPressa. Średnio co tydzień pojawia się nowy skrypt PHP, który jest zwykłym shellem i służy komuś do wysyłania maili.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×