https://slinkov.ru/openforum/vsluhforumID10/3144.html Добрый день!<br>Взломали сервер арендованный в US.<br>Что можете посоветовать?<br>Хакеры изменили конфиг апача и перенесли его.<br>На серваке стоит:<br>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D<br>Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то!<br><br>мне кажется, что на серваке есть троян, который<br>переодически меняет конфиг апача и возможно еще делает что-то<br>По совету запустил chkrootkit:<br>Checking `amd'... not found<br>Checking `basename'... not infected<br>Checking `biff'... not found<br>Checking `chfn'... not infected<br>Checking `chsh'... not infected<br>Checking `cron'... not infected<br>Checking `crontab'... not infected<br>Checking `date'... not infected<br>Checking `du'... not infected<br>Checking `dirname'... not infected<br>Checking `echo'... not infected<br>Checking `egrep'... not infected<br>Checking `env'... not infected<br>Checking `find'... not infected<br>Checking `fingerd'... not found https://slinkov.ru/openforum/vsluhforumID10/3144.html#9 Tue, 22 Dec 2009 12:33:44 GMT Народ я короче покупал свой лицензионный дёдик покупал потом мне повестка в армию пришла, я решил перестраховаться и дёдик продал, кому я его продал он половину суммы отдал половину не стал возвращать, вот я и решил его наказать и выложил все даннные сервера, билинг панель и все айпи сервера, думаю может кому станет интересно и кто решит взломать дёдик..взранее благодарен..Все данные сервера:<br><br><br>Intel Pentium Dual Core E5300 2 x 2.6 Ghz 2GB DDR2 500GB SATA 600 UAH <br><br>Билинг панель: https://cp.hosting.ua:443/psoft/servlet/psoft.hsphere.CP<br><br>Логин: skull<br>Пароль: 21262427<br><br><br>Данные для управления сервером:<br> <br>Main IP : 213.155.18.216<br><br>Additional IP: 213.155.18.217 213.155.18.218 213.155.18.219 213.155.18.220 213.155.18.221 213.155.18.222 213.155.18.223<br>Netmask: 255.255.255.0 Gateway: 213.155.18.254<br> <br>login: Administrator<br>password: 2126Qwerty<br> https://slinkov.ru/openforum/vsluhforumID10/3144.html#8 Tue, 20 Feb 2007 22:08:08 GMT &gt;У тебя там что - музыкальная станция запущена на СЕРВЕРЕ? <br>&gt;<br>&gt; ps axef <br>&gt; ps axuv <br>&gt;<br>&gt;Этого должно хватить посмотреть что откуда запускается <br>&gt;и откуда подгружается. <br>&gt;<br>&gt; lsof -i <br>&gt;<br>&gt;Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из <br>&gt;<br>&gt;проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь <br>&gt;<br>&gt;к новому ps. <br><br>мой совет - переставить полностью систему, мало чего еще оставили хакера на твоём серваке!!! https://slinkov.ru/openforum/vsluhforumID10/3144.html#7 Sat, 17 Feb 2007 12:42:39 GMT У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?<br><br> ps axef<br> ps axuv<br><br>Этого должно хватить посмотреть что откуда запускается<br>и откуда подгружается.<br><br> lsof -i<br><br>Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из<br>проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь<br>к новому ps. https://slinkov.ru/openforum/vsluhforumID10/3144.html#6 Fri, 16 Feb 2007 22:23:11 GMT вот еще lsmod, если поможет:<br><br>yealink 19777 0<br>ipv6 314689 20<br>autofs4 28361 1<br>dm_mod 70673 0<br>video 23881 0<br>button 12513 0<br>battery 15561 0<br>ac 10313 0<br>uhci_hcd 41441 0<br>ehci_hcd 42701 0<br>shpchp 104393 0<br>i2c_i801 14677 0<br>i2c_core 31297 1 i2c_i801<br>snd_hda_intel 25216 0<br>snd_hda_codec 110533 1 snd_hda_intel<br>snd_seq_dummy 8773 0<br>snd_seq_oss 43301 0<br>snd_seq_midi_event 13505 1 snd_seq_oss<br>snd_seq 70553 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event<br>snd_seq_device 15185 3 snd_seq_dummy,snd_seq_oss,snd_seq<br>snd_pcm_oss 64625 0<br>snd_mixer_oss 24001 1 snd_pcm_oss<br>snd_pcm 111305 3 snd_hda_intel,snd_hda_codec,snd_pcm_oss<br>snd_timer 33481 2 snd_seq,snd_pcm<br>snd https://slinkov.ru/openforum/vsluhforumID10/3144.html#5 Fri, 16 Feb 2007 20:45:52 GMT Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp<br>И многие я удалил - перименовал,но не могу ничего поделать с файлами:<br>/bin/netstat<br>/bin/ps<br>/bin/socklist<br>/usr/bin/chsh<br>Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их <br>заменить на нормальные? https://slinkov.ru/openforum/vsluhforumID10/3144.html#4 Thu, 15 Feb 2007 21:18:06 GMT Огромное спасибо за ответ, очень много полезной информации! <br>Я за это время тоже многое накопал!<br>Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать!<br>Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали!<br>Сервак действительно нужен в US, т.к. там размещается большое количество сайтов!<br>Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения!<br><br><br>&gt;&gt;На серваке стоит: <br>&gt;&gt;squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D <br>Сквид оказывается нужен хозяину, я его временно убил<br>Однако спам как шел:( так и идет!<br><br>&gt;&gt;RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так <br>&gt;&gt;и не понял <br>&gt;<br>&gt;RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить <br><br>Итак руткитхантер находит троян по бинарнику /usr/bin/wp в процессах и в скрытых я такого не нашел! Как снести его не знаю!<br>Бинарник переименовал, систему перегрузил, запустилась))<br>Систему обновил! также обнаружил, что https://slinkov.ru/openforum/vsluhforumID10/3144.html#3 Mon, 05 Feb 2007 09:23:32 GMT &gt;Добрый день! <br>&gt;Взломали сервер арендованный в US. <br><br>Сменить хостера на поближе, если вы сам не оттуда<br><br>&gt;Что можете посоветовать? <br>&gt;Хакеры изменили конфиг апача и перенесли его. <br>&gt;На серваке стоит: <br>&gt;squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D <br><br>вот с этого момента: зачем на арендованном серваке у вас squid?<br><br><br>&gt;<br>&gt;Объясните мне тупому можно ли через открытые прокси через squid посылать email <br>&gt;извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 <br>&gt;писем ушло и положило сервак какой-то! <br><br>сквид не сквид, но прокси бывают разные - можно через socks и сквид плагины.<br><br>&gt;<br>&gt;мне кажется, что на серваке есть троян, который <br>&gt;переодически меняет конфиг апача и возможно еще делает что-то <br><br>Кажется, это лишь догадки. Так что именно делает сервак арендованный в УС? <br><br>&gt;По совету запустил chkrootkit: <br><br>вот здесь нужно постить только то, что infected :)<br>&gt;Checking `amd'... not found <br>--skip--<br><br>&gt;Ругается на Possible LKM Trojan installed <br>&gt;Но вроде я посмотрел ничего таког https://slinkov.ru/openforum/vsluhforumID10/3144.html#2 Sun, 04 Feb 2007 17:46:29 GMT &gt; chkproc: Warning: Possible LKM Trojan installed<br><br>Это говорит о том, что какая-то программа запустила несколько скрытых процессов. Напрмер, это делает Mozilla. chrootkit ругается на это во многих только что установленных дистрибутивах.<br>Сам проверял только что установленный AltLinux Master 2.4 и chrootkit ругался на это<br><br> https://slinkov.ru/openforum/vsluhforumID10/3144.html#1 Sun, 04 Feb 2007 16:46:56 GMT Главное вовремя спохватиццо, попробуй отследить откуда что идет, хужеж небудет, не паникуй