hack serveru (spam zombie?)

Jozef Drahovsky freebsdcz2 at jozef.drahovsky.sk
Wed May 27 21:40:10 CEST 2009

Previous message: hack serveru (spam zombie?)
Next message: hack serveru (spam zombie?) - VYRESENO
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,
podobny problem ma trapil ale z PHP. Nejaky html mal v sebe neziaduci 
kus kodu php.
Ked sa spustil s urcitym parametrom tak si z vonku stiahol subor a 
generoval spam, potom
po sebe vsetko upratal. Nasiel som ho prave podla uzivatela www.
Pokial web/php ma mat moznost posielat mail a bezia virtualne servery, 
tazko sa proti tomu branit.
Jedine mat pod kontrolov vestky php kody co je takmer nemozne.
Jedno riesenie je virtualizacia celych serverov a potom nezodpovedneho 
vlastnika
webu respektive obet, ktora si dala na svoj web aj nieco navyse vies 
konkretne lokalizovat.
Tento isty postup sa da zovlit aj pri perle.

Jozef


Cizek.Milan  wrote / napísal(a):
> Ahoj,
> děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi.
>
> smtp01# pstree | grep perl
>  |           \--- 31238 root grep perl
>  |--= 31085 www ./yxqs.pl (perl5.8.9)
>
> www      perl5.8.8  90482 38 tcp4   89.31.40.x:54027      72.14.247.27:25
> www      perl5.8.8  90482 41 tcp4   89.31.40.x:54041      195.4.92.212:25
> www      perl5.8.8  90482 42 tcp4   89.31.40.x:54056      65.54.245.72:25
> www      perl5.8.8  90482 43 tcp4   89.31.40.x:53324      24.71.223.11:25
> www      perl5.8.8  90482 44 tcp4   89.31.40.x:53890      66.196.97.250:25
> www      perl5.8.8  90482 45 tcp4   89.31.40.x:53820      66.196.97.250:25
> www      perl5.8.8  90482 46 tcp4   89.31.40.x:53428      66.196.97.250:25
> www      perl5.8.8  90482 48 tcp4   89.31.40.x:54029      24.71.223.11:25
> ...
>
> Pokud udělám "killall -9 perl5.8.8", vše je ok asi tak na hodinu. Poté se proces zase objeví, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne.
>
> Milan
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
> .
>
>

Previous message: hack serveru (spam zombie?)
Next message: hack serveru (spam zombie?) - VYRESENO
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list