gorus1 6 Zgłoś post Napisano Kwiecień 7, 2014 Witam wszystkich!Od niedawna zacząłem zabawę z administracją serwerem VPS. Mam prośbę z interpretacją loga maillog gdyż mam podejrzenie, że w katalogu /home/admin siedzi jakiś skrypt wysyłający spam mimo iż skanowałem ten katalog maldet. Bardzo proszę o interpretację loga czy moje obawy są uzasadnione gdyż jeszcze nie bardzo się w tym orientuję. Poniżej fragment loga: Apr 6 12:31:58 spamd[11854]: spamd: connection from localhost.localdomain [127.0.0.1] at port 47661 Apr 6 12:31:58 spamd[11854]: spamd: setuid to admin succeeded Apr 6 12:31:58 spamd[11854]: spamd: processing message <2014022110505168711114@g664.com> for admin:1002 Apr 6 12:32:00 spamd[11854]: spamd: identified spam (7.8/5.0) for admin:1002 in 1.7 seconds, 208406 bytes. Apr 6 12:32:00 spamd[11854]: spamd: result: Y 7 - BAYES_60,DEAR_FRIEND,HTML_IMAGE_ONLY_24,HTML_MESSAGE,RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE scantime=1.7,size=208406,user=admin,uid=1002,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=47661,mid=<2014022110505168711114@g664.com>,bayes=0.634747,autolearn=no Apr 6 12:32:00 spamd[11853]: prefork: child states: II Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Kwiecień 7, 2014 Cron, rc.local, aktywne procesy i wszystko co może wykonywać się okresowo. Nie zaszkodzi przejechanie rkhunter'em. Z powyższego loga wiesz mniej więcej tyle, że wirusik jest lokalnie, tzn. może to być php, rootkit, cokolwiek co jest na serwerze, a przy źle skonfigurowanych serwerach i zdalnie, czyli nie mówi w zasadzie nic. W ostateczności deluser admin. Udostępnij ten post Link to postu Udostępnij na innych stronach
gorus1 6 Zgłoś post Napisano Kwiecień 7, 2014 (edytowany) Dzięki za szybką odpowiedź! W rc.local jest jedynie /etc/init.d/startips start natomiast po przeskanowaniu rkhunter'em okazało się, że ma podejrzane 3 pliki i 3 aplikacje, ale tu znowu jestem za cienki jeżeli chodzi o interpretację. Poniżej wklejam fragment loga ze skanu rkhunter'em poniważ nie mam uprawnień do zamieszczania całych plików: [02:21:20] System checks summary [02:21:20] ===================== [02:21:20] [02:21:20] File properties checks... [02:21:20] Files checked: 144 [02:21:20] Suspect files: 3 [02:21:20] [02:21:20] Rootkit checks... [02:21:20] Rootkits checked : 381 [02:21:20] Possible rootkits: 0 [02:21:20] [02:21:20] Applications checks... [02:21:20] Applications checked: 9 [02:21:20] Suspect applications: 3 [02:21:20] [02:21:20] The system checks took: 3 minutes and 13 seconds [02:21:20] [02:21:20] Info: End date is Mon Apr 7 02:21:20 CEST 2014 W ostateczności mogę usunąć usera admin, ale jak przeniosę pliki z katalogu admina na innego usera, to może znów się zacząć wysyłać ten spam. Może jakoś inaczej się da zablokować wysyłkę tego spamu? Edytowano Kwiecień 7, 2014 przez gorus1 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Kwiecień 7, 2014 Ten log jest za mało szczegółowy, żeby cokolwiek powiedzieć. Pewnie do jakiegoś skryptu ktoś wrzucił funkcję mail() i abusuje. Udostępnij ten post Link to postu Udostępnij na innych stronach
gorus1 6 Zgłoś post Napisano Kwiecień 7, 2014 (edytowany) W załączniku pełen log, ale mam jeszcze pytanie odnośnie IP tj. rozumiem, że IP serwera mogło wpaść na blacklist i np. w poczcie GMAIL wiadomości wysłane z konta pocztowego z mojego VPS lądowały w SPAM poczty GMAIL, ale czy po zmianie adresu IP na inny teoretycznie "czysty" np. GMAIL nie powinien już wrzucać do smam-u? U operatora swojego VPS dokupiłem drugi adres IP i ustawiłem go dla wiadomości wychodzących, ale i tak lądują one w SPAM skrzynek GMAILA. Czy to normalne, że tak się dzieje? Operator twierdzi, że to normlne i nic nie da się z tym zrobić, ale coś mi się wierzyć nie chce... rkhunter.txt Edytowano Kwiecień 7, 2014 przez gorus1 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
mmmm21 98 Zgłoś post Napisano Kwiecień 7, 2014 Jeżeli ustawisz dla domeny, z której wysyłasz pocztę, rekord spf, zastosujesz DKIM i na końcu DMARC, poczta w gmailu przestanie wpadać w spam. Poza tym przydałby się pełny log z programu pocztowego. Udostępnij ten post Link to postu Udostępnij na innych stronach
gorus1 6 Zgłoś post Napisano Kwiecień 7, 2014 (edytowany) Dzięki za sugestie, ale żeś mnie zabił tymi pojęciami tj. spf, DKIM i DMARC - mam VPS z direct admin, gdzie to się ustawia? Otrzymałem VPS już skonfigurowany i być może coś operator źle ustawił... Co do pełnego loga z programu pocztowego to przepraszam, ale nie rozumiem o jakiego loga chodzi, użytkownicy i ja też nie korzystamy z programów pocztowych tylko z webmaila... Poza tym pełny log obojętnie jakiej wysłanej wiadomości? Edytowano Kwiecień 7, 2014 przez gorus1 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Kwiecień 7, 2014 Ja ostatnio mam problem, bo dostają się jakieś cwaniaki do mojego serwera przez WordPressa. Średnio co tydzień pojawia się nowy skrypt PHP, który jest zwykłym shellem i służy komuś do wysyłania maili. Udostępnij ten post Link to postu Udostępnij na innych stronach
gorus1 6 Zgłoś post Napisano Kwiecień 7, 2014 Tutaj może być podobnie, z tym że przez joomlę ale problem w tym jak te skrypty wykryć i zablokować? Udostępnij ten post Link to postu Udostępnij na innych stronach
