Přihlášení | Registrace

napište » Zprávičky

dnes 14:00 | Upozornění

Cloudflare, tj. společnost poskytující "cloudové služby, které zajišťují bezpečnost, výkon a spolehlivost internetových aplikací", má výpadek.

Ladislav Hagara | Komentářů: 4

Kasiopea, soutěž v programování (primárně) pro středoškoláky

dnes 04:22 | Pozvánky

Letos se uskuteční již 11. ročník soutěže v programování Kasiopea. Tato soutěž, (primárně) pro středoškoláky, nabízí skvělou příležitost procvičit logické myšlení a dozvědět se něco nového ze světa algoritmů – a to nejen pro zkušené programátory, ale i pro úplné začátečníky. Domácí kolo proběhne online od 22. 11. do 7. 12. 2025 a skládá se z 9 zajímavých úloh různé obtížnosti. Na výběru programovacího jazyka přitom nezáleží – úlohy jsou

… více »

SoutezKasiopea | Komentářů: 0

Git 2.52.0

dnes 04:11 | Nová verze

Byla vydána nová verze 2.52.0 distribuovaného systému správy verzí Git. Přispělo 94 vývojářů, z toho 33 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

VKD3D-Proton 3.0

včera 18:00 | Nová verze

VKD3D-Proton byl vydán ve verzi 3.0. Jedná se fork knihovny vkd3d z projektu Wine pro Proton. Knihovna slouží pro překlad volání Direct3D 12 na Vulkan. V přehledu novinek je vypíchnuta podpora AMD FSR 4 (AMD FidelityFX Super Resolution 4).

Ladislav Hagara | Komentářů: 0

Thunderbird 145.0

včera 03:11 | Nová verze

Poštovní klient Thunderbird byl vydán v nové verzi 145.0. Podporuje DNS přes HTTPS nebo Microsoft Exchange skrze Exchange Web Services. Ukončena byla podpora 32bitového Thunderbirdu pro Linux.

Ladislav Hagara | Komentářů: 2

Czech & Slovak Games Week 2025

včera 02:33 | IT novinky

U příležitosti státního svátku 17. listopadu probíhá na Steamu i GOG.com již šestý ročník Czech & Slovak Games Week aneb týdenní oslava a také slevová akce českých a slovenských počítačových her.

Ladislav Hagara | Komentářů: 0

DietPi 9.19

16.11. 19:33 | Nová verze

Byla vydána nová verze 9.19 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnout lze například nový balíček BirdNET-Go, tj. AI řešení pro nepřetržité monitorování a identifikaci ptáků.

Ladislav Hagara | Komentářů: 0

Flutter 3.38 a Dart 3.10

16.11. 02:22 | Nová verze

Byla vydána nová verze 3.38 frameworku Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací a nová verze 3.10 souvisejícího programovacího jazyka Dart (Wikipedie).

Ladislav Hagara | Komentářů: 0

Apache NetBeans 28

16.11. 01:33 | Nová verze

Organizace Apache Software Foundation (ASF) vydala verzi 28 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

Ladislav Hagara | Komentářů: 0

Debian 13.2

15.11. 16:11 | Nová verze

Byl vydán Debian 13.2, tj. druhá opravná verze Debianu 13 s kódovým názvem Trixie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (35%)

Gitlab (46%)

Atlassian (19%)

Bitbucket (18%)

Gitea (23%)

Mercurial (15%)

jen git (23%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 367 hlasů

Komentářů: 16, poslední 12.11. 18:21

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Ubuntu 10.04.4 rozesílá tisíce spamů

Štítky: AbcLinuxu, bezpečnost, Cron, disk, distribuce, logování, monitorování, PHP, problém, proces, programování, root, server, smokeping, Ubuntu, zdroj

Dotaz: Ubuntu 10.04.4 rozesílá tisíce spamů

17.11.2013 16:34 toi | skóre: 14 | Holice
Ubuntu 10.04.4 rozesílá tisíce spamů

Přečteno: 761×

Odpovědět | Admin

Zdravím pánové, mám dost podobný problém jako kolega z příspěvku http://www.abclinuxu.cz/poradna/linux/show/378552. Bohužel to vypadá ale na něco jiného, nebo aspoň myslím. Taky jsem si nejprve myslel že zdrojem spamů je php skrip, ale zapnul jsem si logování mailů odeslaných přes PHP a je jich tam pár. Kdežto když "TO" vypukne, postqueue -p vypisuje tisíce mailů. Není to pravidelné, ale když k tomu dojde, během chvíle jsou ve frontě desetitisíce mailů od uživatele www-data a zaplní se disk. Všiml jsem si že když můj server spamuje, běží tam nějaké divné procesy. Jeden z toho je vždycky zombie. Nejvíc mně zaráží to, že podle názvu ten proces vůbec neexistuje (/usr/bin/crond)! Toto je zkrácený výstup příkazu ps auxf:


www-data  6767  0.2  0.2  10396  8672 ?        S    Nov16   4:56 /usr/bin/crond

root      6762  0.0  0.0   7504  2088 ?        S    Nov16   0:01 CRON

www-data  6763  0.0  0.0      0     0 ?        Zs   Nov16   0:00  \_ [sh] < defunct>

www-data  6792  0.0  0.0   5840  1688 ?        S    Nov16   0:00  \_ /usr/sbin/sendmail -i -FCronDaemon -oem www-data

www-data  6793  0.0  0.0   5832  1684 ?        S    Nov16   0:00      \_ /usr/sbin//postdrop -r

Napadá někoho něco? Už jsem z toho trochu v koncích. Je to produkční server a ty služby tam potřebuju. Napadá mě, že mi tam běží smokeping, respektive jeho cgi-skript. Nemohl by to být ten zdroj problému? Dík za každou radu. P.S.: systém mám aktualizovaný

Nástroje: Začni sledovat (0) ?

Odpovědi

17.11.2013 17:39 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

mailů odeslaných přes PHP a je jich tam pár

www-data 6792 0.0 0.0 5840 1688 ? S Nov16 0:00 \_ /usr/sbin/sendmail -i -FCronDaemon -oem www-data

Když PHP skript zavolá místo mail() exec("/usr/sbin/sendmail"), tak se e-mail pošle, anižby PHP něco zaznamenalo.

proces vůbec neexistuje (/usr/bin/crond)

www-data 6767 0.2 0.2 10396 8672 ? S Nov16 4:56 /usr/bin/crond

Já tedy proces 6767, který se jmenuje /usr/bin/crond vidím. Jestli chceš vědět, co je to zač, jestli se jen za /usr/bin/crond nemaskuje, podívej se, kam ukazuje odkaz /proc/6767/exe, a co je v něm.

Ale jinak ve výpisu ps aux nejdou čísla rodičů, takže se dá těžko usuzovat, kdo pustil koho.

17.11.2013 18:47 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Když PHP skript zavolá místo mail() exec("/usr/sbin/sendmail"), tak se e-mail pošle, anižby PHP něco zaznamenalo.

Dobře, prohledám kompel www root, jestli tam není zmínka o tomhle execu.

Já tedy proces 6767, který se jmenuje /usr/bin/crond vidím. Jestli chceš vědět, co je to zač, jestli se jen za /usr/bin/crond nemaskuje, podívej se, kam ukazuje odkaz /proc/6767/exe, a co je v něm.

V panice jsem všechny ty procesy killnul, ale příště se podívám. Jinak fyzicky na disku /usr/bin/crond neexistuje, takže se podívám do toho procu, za co se to maskuje.

Ale jinak ve výpisu ps aux nejdou čísla rodičů, takže se dá těžko usuzovat, kdo pustil koho.

Vypadalo to, že všechno to začínalo u cronu...

Každopádně díky za nakopnutí.

20.11.2013 21:49 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Tak se to objevilo znova, výstup ps auxf:


root     12524  0.0  0.0   2404   924 ?        Ss   Nov17   0:00 cron

root     23788  0.0  0.0   7504  2112 ?        S    13:52   0:00  \_ CRON

www-data 23789  0.0  0.0      0     0 ?        Zs   13:52   0:00      \_ [sh] <defunct>

www-data 23818  0.0  0.0   5840  1692 ?        S    13:52   0:00      \_ /usr/sbin/sendmail -i -FCronDaemon -oem ww

www-data 23819  0.0  0.0   5832  1680 ?        S    13:52   0:00          \_ /usr/sbin//postdrop -r

/proc/<PID>/exe u všech procesů souhlasí, krom PID 23789, tam symlink neexistuje. Nějaký nápad jak to může cron způsobovat?
crontaby všech userů jsou čisté, v adresářích /etc/cron.* jsem taky neobjevil nic co by spouštělo uvedené procesy pod uživatelem www-data, ani pod jiným.
K ukončení pomůže restartovat službu cron, ale ta náhodnost se kterou se to vyskytuje mě děsí.

21.11.2013 06:58 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Je možné, že cron nespouští úlohy jako parametr shellu, ale přes pomocný soubor, který smaže. To by vysvětlovalo, proč soubor programu už neexistuje. A e-mail je odeslán normálně cronem, protože úloha selhala. Díval jste se vůbec do těch e-mailů? Dále uživatelské crontaby nejsou v /etc, ale pod /var/spool/cron. Obvykle pojmenovány po uživateli, ve vašem případě www-data.

21.11.2013 21:27 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

To by asi souhlasilo, že se ten soubor pak smaže, ale je nějaká možnost, jak ho vystopovat?

Uživatelské crony neexistují, má ho pouze root, ale jsou v něm jenom moje skripty.

Objevuje se to fakt náhodně, kdyby to spouštěl cron, bylo by to přece pravidelně. Ale já mám třeba týden klid a pak se to objeví 2x za den...

Má pro to někdo nějaké vysvětlení?

21.11.2013 22:32 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Provedl jste si kontrolu hashů? Pokud máte rootkitlý cron, případně nějaké knihovny, nic spolehlivého nezjistíte. I obyčejné ls vám může dávat zkreslené informace.

22.11.2013 11:08 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

bohužel nemám žádné otisky jednotlivých souborů a ani nevím kde bych je sehnal, takže kontrolu hashů jsem nedělal

22.11.2013 10:16 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Můžete si nainstalovat audit a po incidentu se podívat, jak procesy přišly na svět. Nebo se přes strace připojte na crond.

22.11.2013 14:02 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: Ubuntu 10.04.4 rozesílá tisíce spamů

Audit mi nejde zkompilovat kvůli chybějící knihovně libwrap a stejně je na mě nějaký moc složitý :-)

Ale pověsil jsem na to strace, tak uvidíme. Díky

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje