Portál AbcLinuxu, 8. května 2024 13:19
Dobrý den
v noci mi na email přišlo mnoho (sca 150) emailů od MAILER-DAEMONs. Emaily obsahují standartní správu o tom, že email na XX emailovou adresu nemohl být doručen.
Jako adresa odesílatele je všude uvedená adresa mého serveru ve tvaru:
apache@server.mojeDomena.cz
Moc nevím co mám dělat. Nevím, zda spameři pouze použily emailovu adresu serveru, či zneužily server k odesílání spamu. Jak se to dá zjistit? Je možné, že někdo můj server přidá do nějaké databáze spamových rozesílačů a ostatní poštovní servery nebudou přijímat emaily z naší domény? Jak to zjistit?
Emaily odesílá Apache? Tedy z nějakého webového rozhranní na nějakém hostujícím webu?
děkuji za pomoc
Tomáš
Děkuji za cenné rady.
Emaily byly odeslány z našeho serveru.
Logy Ftp a Apache prohledávám.
V logu postfixu jsem našel čas odeslání. V Apache ani v Ftp logu v čase odesílání, ale nic mimořádného není.
Jan 15 21:20:17 scorpio sendmail[26323]: o0FKKHqi026323: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHqi026323@scorpio.myDomain.cz>, relay=apache@localhost Jan 15 21:20:17 scorpio sendmail[26327]: o0FKKHHe026327: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHHe026327@scorpio.myDomain.cz>, relay=apache@localhost Jan 15 21:20:17 scorpio sendmail[26325]: o0FKKHoJ026325: from=apache, size=164, class=0, nrcpts=1, msgid=<201001152020.o0FKKHoJ026325@scorpio.myDomain.cz>, relay=apache@localhost ...
16.1.2010 17:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
V access_logu Apache, v Ftp logu, v lastlog nic podezřelého není
Běží mnoho procesů perl
ps -aux | grep apache
apache 7754 0.0 0.0 0 0 ? Z 11:56 0:00 [perl] defunct apache 8080 0.0 0.0 0 0 ? Z 05:40 0:02 [perl] defunct apache 8173 0.0 0.0 0 0 ? Z 11:57 0:00 [perl] defunct apache 8231 0.0 0.0 0 0 ? Z 16:48 0:00 [perl] defunct apache 8344 0.0 0.0 0 0 ? Z 06:20 0:01 [perl] defunct apache 8486 0.0 0.0 0 0 ? Z 18:06 0:00 [sh] defunct apache 8491 0.0 0.1 36064 6604 ? S 18:06 0:03 perl spamm.txt apache 8560 0.0 0.1 36060 6604 ? S 18:06 0:03 perl spamm.txt apache 8704 0.0 0.1 36064 6604 ? S 18:06 0:03 perl spamm.txt apache 8711 0.0 0.1 36064 6608 ? S 18:06 0:02 perl spamm.txt apache 8731 0.0 0.0 0 0 ? Z 16:48 0:00 [perl] defunct apache 8845 0.0 0.0 0 0 ? Z 11:58 0:00 [perl] defunct apache 8847 0.0 0.0 0 0 ? Z 18:06 0:00 [perl] defunct apache 8856 0.0 0.0 0 0 ? Z 18:06 0:00 [perl] defunct apache 8917 0.0 0.0 0 0 ? Z 18:06 0:00 [perl] defunct apache 9035 0.0 0.0 0 0 ? Z 16:48 0:00 [perl] defunct ...
netstat -natup | grep perl
tcp 0 0 10.10.17.26:46387 201.63.167.164:6667 ESTABLISHED 26994/perl tcp 0 0 10.10.17.26:46385 201.63.167.164:6667 ESTABLISHED 26987/perl tcp 0 0 10.10.17.26:46389 201.63.167.164:6667 ESTABLISHED 27003/perl tcp 0 0 10.10.10.1:52651 10.10.10.1:8009 ESTABLISHED 21346/perl tcp 0 0 10.10.10.1:54889 10.10.10.1:8009 ESTABLISHED 21346/perl tcp 0 0 10.10.17.26:36716 201.63.167.164:6667 ESTABLISHED 21346/perl tcp 0 0 10.10.17.26:36718 201.63.167.164:6667 ESTABLISHED 21351/perl tcp 1085 0 10.10.17.26:36703 201.63.167.164:6667 CLOSE_WAIT 21346/perl tcp 0 0 10.10.17.26:56797 200.209.9.155:8067 ESTABLISHED 20960/perl tcp 0 0 10.10.17.26:56796 200.209.9.155:8067 ESTABLISHED 20953/perl tcp 0 0 10.10.17.26:56798 200.209.9.155:8067 ESTABLISHED 20965/perl tcp 0 0 10.10.17.26:56801 200.209.9.155:8067 ESTABLISHED 21071/perl tcp 0 0 10.10.17.26:56800 200.209.9.155:8067 ESTABLISHED 21033/perl tcp 0 0 10.10.17.26:48711 200.209.9.155:8067 ESTABLISHED 8560/perl tcp 0 0 10.10.17.26:48709 200.209.9.155:8067 ESTABLISHED 8491/perl tcp 0 0 10.10.17.26:48714 200.209.9.155:8067 ESTABLISHED 8704/perl tcp 0 0 10.10.17.26:48715 200.209.9.155:8067 ESTABLISHED 8711/perl
V adresáři /var/named/chroot/proc patří všechny procesy uživately apache.
Těch odeslaných emalů bylo mnoho tisíc. Kolem 40 tisíc emalů mi bylo vráceno na účet postmaster s hlavičkou Undelivered Mail Returned to Sender
V error_logu Apache je spousta podobných podivných řádků:
--20:05:52-- http://ppslaterent.com/brd/v7.gif
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 79079 (77K) [image/gif]
Saving to: `v7.gif'
0K .......... .......... .......... .......... .......... 64% 32.6K 1s
50K .......... .......... ....... 100% 29.3K=2.5s
20:05:55 (31.4 KB/s) - `v7.gif' saved [79079/79079]
sh: fetch: command not found
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
3 79079 3 2645 0 0 8656 0 0:00:09 --:--:-- 0:00:09 8656
17 79079 17 14229 0 0 8093 0 0:00:09 0:00:01 0:00:08 7977
30 79079 30 24365 0 0 11946 0 0:00:06 0:00:02 0:00:04 12525
80 79079 80 63461 0 0 21585 0 0:00:03 0:00:02 0:00:01 23080
100 79079 100 79079 0 0 22309 0 0:00:03 0:00:03 --:--:-- 23598
sh: lnyx: command not found
--20:06:32-- http://ppslaterent.com/nrs/vv.txt
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 33413 (33K) [text/plain]
Saving to: `vv.txt'
0K .......... .......... .......... .. 100% 71.1K=0.5s
20:06:33 (71.1 KB/s) - `vv.txt' saved [33413/33413]
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
sh: fetch: command not found
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
3 33413 3 1197 0 0 3928 0 0:00:08 --:--:-- 0:00:08 3928
100 33413 100 33413 0 0 43964 0 --:--:-- --:--:-- --:--:-- 70804
sh: lnyx: command not found
syntax error at vv.txt line 29, near "my "
BEGIN not safe after errors--compilation aborted at vv.txt line 58.
--20:06:37-- http://ppslaterent.com/nrs/spamm.txt
Resolving ppslaterent.com... 66.252.228.51
Connecting to ppslaterent.com|66.252.228.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 52470 (51K) [text/plain]
Saving to: `spamm.txt.1'
0K .......... .......... .......... .......... .......... 97% 41.4K 0s
50K . 100% 2.42M=1.2s
20:06:38 (42.5 KB/s) - `spamm.txt.1' saved [52470/52470]
sh: fetch: command not found
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
4 52470 4 2645 0 0 8639 0 0:00:06 --:--:-- 0:00:06 8639
82 52470 82 43177 0 0 40142 0 0:00:01 0:00:01 --:--:-- 52638
100 52470 100 52470 0 0 48746 0 0:00:01 0:00:01 --:--:-- 64623
sh: lnyx: command not found
Na URL z výpisu potom podivné scripty.
http://ppslaterent.com/nrs/spamm.txt http://ppslaterent.com/nrs/vv.txtJak je možné takové scripty přes Apache spustit? Co s tím mám dělat?
Děkuji za radu.
Další script v error_log Apache je na url>
http://ppslaterent.com/brd/v7.gifObsahuje script pokud soubor otevřete jako text.
Děkuji za vysvětlení.
Stále mi není jasné jak se může škodlivý kód do php souboru dostat.
Přes webový formulář? Jak může útočník něco zapsat do php souboru?
Jinak všem děkuji za pomoc. Teď už to nějak srovnám.
Tomáš
Stále mi není jasné jak se může škodlivý kód do php souboru dostat.Způsobů je spousta a my to samozřejmě nezjistíme (leda že by někdo měl křišťálovou kouli) - to už je tvůj boj, pochybuju, že by se tu našel dobrák, kterej ti bude auditovat webserver. Z těch způsobů - může to být prozrazení přihlašovacích údajů k FTP účtu, přes který se dají nahrávat data na web (to už tu padlo), můžeš na tom serveru mít nějaký děravý PHP skript*, který zlejm hochům umožní nahrát svůj vlastní PHP skript na server a následně ho spustit. * například nějaký, který umožňuje upload souborů na server, ale nekontroluje přípony; popřípadě takový, který umožní vykonat vzdálený kód, třeba protože jsou špatně ošetřené vstupní parametry.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
17.1.2010 03:13
