поломали сервак

[paradox]

если скриптов нету на диске, то скорее всего root взломан?

они бы от рута пускались ибо нет смысла от апача их пускать

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ProFTP]

в этой переменной $0='mydaemon'; храниться название запускаемого файла.... тогда find не может и ps тоже?

http://www.hypernews.org/HyperNews/get/ ... s/315.html

[paradox]

что find и ps не может?

[ProFTP]

скриптов которые работают не смогут же найти эти команды, т.е. название исполняемого файла поменялось в perlе?

меня в данном случае смущает следующая ситуация - скрипты висят в процессах, но на диске их нет. Как по процессу можно определить путь, откуда он запустился?

[gloom]

может lsof + grep

[ProFTP]

Код: Выделить всё

grep -r / perl

может все скрипты найдет

[Gloft]

попробуй поставить pstree
она покажет от кого запускаются эти процессы

[ProFTP]

я вспомнил еще, мне рекомендовали снять бит exec с файлов где все хостовые файлы стоят...

и безопасность php может надо настроить, выключить опасные функцию? и чтобы сайт работал от конкретного пользователя...

[zg]

я вспомнил еще, мне рекомендовали снять бит exec с файлов где все хостовые файлы стоят...

эммм... зачем же впадать в крайности

модифицировал свой скрипт до такого состояния

Код: Выделить всё

#!/bin/sh
PIDS=`ps wuax | grep nobody | grep perl | awk '{print $2}'`
FILE=/home/zg/spam_start.txt

if [ -n "${PIDS}" ];
then
  date >> ${FILE}
  kill -9 ${PIDS}
fi

Появился первый результат

Код: Выделить всё

%cat spam_start.txt
Sat Oct 10 22:35:00 YEKST 2009
Sat Oct 10 23:15:00 YEKST 2009
Sat Oct 10 23:40:00 YEKST 2009
Sat Oct 10 23:55:00 YEKST 2009
Sun Oct 11 00:35:00 YEKST 2009

мой скрипт запускается каждые пять минут. Пока сложно сказать, что к чему, но судя по всему крон тут не замешан.

попробуй поставить pstree
она покажет от кого запускаются эти процессы

ухт, какая штукенция прикольная -))) Спасибо!

может все скрипты найдет

пробовал, не находит

а ты уверен что его вломали?

ну... какбы если в топе висят демоны с иммунитетом на катчибл килл и шлют спам, то явно что-то не так.

если там 28 сайтов ты говоришь, то может кто-то по фтп(или через веб морду) зашел и скрипты поставил там на 777 права?

суть не меняется - на серваке есть дырка, её активно юзают, мне интересно найти её и посмотреть, как она работает. Устранить последствия не проблема, главное найти! Вообще, есть подозрения, что сломали через syscp.

[ProFTP]

может где-то не фильтруються данные из form и идет банальный exec perl ... через php - самописный скрипт

[paradox]

ну если взломали через php
то не помню где но можно включить php логирование
и смотреть что откуда лезет)
но сервер такого дебага может не выжержать - тупить будет если люду много туда ходит

[paradox]

да и вообще апачевские логи будут показывать
ты вообще в них смотрел?)

[zg]

ты вообще в них смотрел?)

вообще там 26 логов, которые засраны по самое не хачу единого лога нет, поэтому сначала надо определить сайт, который сломали, а потом смотреть логи, иначе это бесполезно -)))

то не помню где но можно включить php логирование

я смотрел, но ничё особенного не заметил. Ситуация сильно осложняется кривой настройкой сервера.

Я сейчас хочу определить время, когда стартует спам и по логам проверить это время. Не думаю, что за минуту или две, на всех сайтах будет большая активность.

[reLax]

ты вообще в них смотрел?)

вообще там 26 логов, которые засраны по самое не хачу единого лога нет, поэтому сначала надо определить сайт, который сломали, а потом смотреть логи, иначе это бесполезно -)))

то не помню где но можно включить php логирование

я смотрел, но ничё особенного не заметил. Ситуация сильно осложняется кривой настройкой сервера.

Я сейчас хочу определить время, когда стартует спам и по логам проверить это время. Не думаю, что за минуту или две, на всех сайтах будет большая активность.

Я тебе тулзу одну могу дать, она под венду. Пошерсти ей сайты, может поможет найти дырочку Acunetix Web Vulnerablity Scanner (cracked)

[schizoid]

а pstree глянуть?

[thefree]

как там дела?

[zingel]

запертите exec и всё в php.ini и вообще

chkrootkit && rkhunter

[zg]

как там дела?

Код: Выделить всё

Tue Oct 13 18:03:00 YEKST 2009
Tue Oct 13 20:11:00 YEKST 2009
Tue Oct 13 21:23:00 YEKST 2009
Tue Oct 13 22:37:00 YEKST 2009
Tue Oct 13 23:53:00 YEKST 2009

гм... спам вчера резко прекратися за сёдня тишина.. или забили, или чё завтра будет ясно

времени особо ковыряться не было дырень пока осталась

[zg]

запертите exec и всё в php.ini и вообще

chkrootkit && rkhunter

не -)) это не поможет, там совсем всё криво настроено, просто хочу отловить дырку.

Я тебе тулзу одну могу дать, она под венду. Пошерсти ей сайты, может поможет найти дырочку

было бы неплохо

[reLax]

было бы неплохо

http://letitbit.net/download/5843.a5175 ... e.zip.html
LMR5N3FZF95

[zg]

сёдня попробую посканить сенкс!

[koffu]

У меня похожее было, скомуниздили пароли на FTP у пользователя из Total Commander, все время от его аккаунта заливали какие-то *.pl в cgi-bin, потом запускали через апач. Решил сменой пароля и chmod a-x на бинарник перла. Мне он на сервере НАХ не нужен.

[zg]

и chmod a-x на бинарник перла. Мне он на сервере НАХ не нужен.

им сам апач пользуется, например, apxs

скомуниздили пароли на FTP у пользователя из Total Commander

-))) бывает, сёдня попробую просканить сайты тулзой, посомтрим, что получится

[Cheshirski]

попробуй rootkithunter

[Laa]

По pid можно найти сам файл через fstat. Когда найдется файл станет понятно где в каком месте он находится.
Тогда будет понятно как он туда мог попасть.
Поставь mod_security, оно частично помогает.
Заставь юзеров удалить установленные phpmyadmin и тому подобный софт, который доступен всем рыскающим хакерам для попыток взлома. Часто бывает, что у клиента стоят древние уязвимые версии.
Ну и по размеру лога виртуального веб-сайта можно догадываться об активности, а там уже начать изучать лог.

Желаю удачи.