>Добрый день!
>Взломали сервер арендованный в US. Сменить хостера на поближе, если вы сам не оттуда
>Что можете посоветовать?
>Хакеры изменили конфиг апача и перенесли его.
>На серваке стоит:
>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
вот с этого момента: зачем на арендованном серваке у вас squid?
>
>Объясните мне тупому можно ли через открытые прокси через squid посылать email
>извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000
>писем ушло и положило сервак какой-то!
сквид не сквид, но прокси бывают разные - можно через socks и сквид плагины.
>
>мне кажется, что на серваке есть троян, который
>переодически меняет конфиг апача и возможно еще делает что-то
Кажется, это лишь догадки. Так что именно делает сервак арендованный в УС?
>По совету запустил chkrootkit:
вот здесь нужно постить только то, что infected :)
>Checking `amd'... not found
--skip--
>Ругается на Possible LKM Trojan installed
>Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6
это фигня, загляните по какому признаку он так думает и снесите его никогда не запуская больше.
>
>auditd 1673
>/usr/sbin/kernel@-f@/etc/kernel_config
>/usr/sbin/named
>usr/sbin/kernel-f/etc/kernel_config
>/usr/sbin/kernel-f/etc/kernel_config
>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>и не понял
RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить
Итак что вам нужно сделать сначала:
Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их пакеты.
Систему обновить.
Ядро поставить с kernel.org и шляпное больше не юзать (если у вас не oracle)
Все логи перенаправить себе.
Закрутить гайки в файрволе.
Заменить openssh на ssh2 от ssh.com и сменить порт.
Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной сверкой md5sum на статический контент и конфигов. С провалом сверки, простая перезапись с внешнего источника и алерт (впрочем логи вы уже себе перенаправили).
Ещё раз критично осмотреть процессы и лишние файлы по всей системе.
Что сделать после этого:
Перечитать apache secure methods.
Перепроверить _все_ самописные скрипты и _все_ скрипты для вашего www. По возможности отказаться от php.
Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm критичных библиотек и приложений с оригинальных источников.
Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
Настроить алерты в коллекторе логов.
Попить пиво за элементарную работу которую сразу нужно было сделать после установки системы.
Попивая пиво доделать мелочи безопасности.