jasne 0 Zgłoś post Napisano Czerwiec 29, 2011 WItam Posiadam serwer dedykowany który dostawca zablokowal poniewaz jego system monitoringu wykryl iz moj serwer robi mase polaczen z obcym ip. Ponizej logi ktore otrzymalem od dostawcy: startime endtime scr port dst port ----------------------------------------------------------- ----------------------------------- 2011-06-29 08:29:25 2011-06-29 08:29:57 MOJ-IP:40762 OBCY-IP:110 2011-06-29 08:29:30 2011-06-29 08:29:55 MOJ-IP:41713 OBCY-IP:110 2011-06-29 08:29:31 2011-06-29 08:29:55 MOJ-IP:47441 OBCY-IP:110 Sprawdzałem serwer rkhunter oraz chkrootkit .. i nic nie znalazlem... Te polaczenia generowane sa o roznych porach i dniach... Jak moge znalezc zrodlo ktore to generuje ? Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Czerwiec 29, 2011 iptables -A OUTPUT -p tcp --dport 110 -j LOG --log-prefix sledzik --log-uid Potem cat /var/log/messages | grep sledzik Będziesz miał UID/GID szkodnika, który owe połączenia wykonał. Udostępnij ten post Link to postu Udostępnij na innych stronach
www.follownet.pl 8 Zgłoś post Napisano Czerwiec 30, 2011 Przeszukaj foldery do których jest możliwość zapisu z poziomu php np. /tmp, jeśli php działa jako moduł przeszukaj pliki których właścicielem jest serwer www i które były modyfikowane / tworzone na przełomie ostatnich dni. Najpewniej możesz mieć dziurawy jakiś komponent / moduł o co na hostingu współdzielonym nie trudno, gdyż tam większość userów stawia cmsa i zapomina, że aktualizować trzeba <_>Stosując logowanie przez iptables i znając uid usera, który nawiązuje połączenia na wskazany port szybko odnajdziesz podejrzaną binarkę / skrypt za pomocą którego dokonywane są ataki. Udostępnij ten post Link to postu Udostępnij na innych stronach
jasne 0 Zgłoś post Napisano Czerwiec 30, 2011 w zasadzie tak ale nie udostępniam hostingu nikomu innemu także wszystko jest moje i na nic mi UID / GID... potrzebuje konkretną nazwę pliku + ścieżkę dostępu Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość mahho Zgłoś post Napisano Czerwiec 30, 2011 Sprawdź może co jakiś czas netstat -tanp to może znajdziesz ten proces odpowiadający za wysyłkę Udostępnij ten post Link to postu Udostępnij na innych stronach
venet0 72 Zgłoś post Napisano Czerwiec 30, 2011 Zablokuj obce ip na porcie 110 i niech odblokują Ci usługę. A Ty monitoruj łącze czy coś się dzieje na porcie 110. Więcej Ci doradzić nie mogę bo za bardzo nie znam się na FW itd. Udostępnij ten post Link to postu Udostępnij na innych stronach
deSh 0 Zgłoś post Napisano Lipiec 1, 2011 Port 110 odpowiada za POP3 Pozdrawiam Udostępnij ten post Link to postu Udostępnij na innych stronach
