EOMY.NET
Хостинг EOMY.NET: Форум поддержки
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
RSS Feed  

Помощь в администрировании

 
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Сервис VPS от EOMY.NET
Помощь в администрировании
Автор Сообщение
Roma-i-alena
11 1110 1000
11 1110 1000


Зарегистрирован: 03.05.2007
Сообщения: 1169
Откуда: vladimir
8115 Монеты

СообщениеДобавлено: Пт, 13 Июн, 2014 21:06    Заголовок сообщения: Помощь в администрировании Ответить с цитатой

Добрый день
Помогите с администрирование VPS. Уже два раза сервер был suspend =( за спамовую рассылку.
Нашел что взломали сайты на WP. Сделал бекапы, почистил сайты, переустановил ОСь. Вроде все нормально.
Но сегодня утром опять был suspend, это был последний. если еще один будет сервер будет в таком состоянии до НГ =(
И снова спам. Проверил все сайты - все чисто. В логах maillog exim'a все чисто.
Кто подсобит? Не охота лишиться сервера до конца года.
_________________
Жизнь никогда не заканчивается!!!
На то, собственно говоря, она и ЖИЗНЬ...
____________________________________
http://www.coderun.ru - Блог человека
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пт, 13 Июн, 2014 21:33    Заголовок сообщения: Ответить с цитатой

Приветствую.

Нулевое: остановить exim, через iptables закрыть 25 порт (ну чтобы вас не заблокировало повторно).

Первое: внимательно смотрите HTTP-логи за настолько большой период, насколько возможно (скриптом выдерните из лога уникальные файлнеймы, кончающиеся на .php), перебором просмотрите полученные файлы.
Второе: просмотрите компоненты/темплейты на наличие приписок (нy я думаю вы это и так сделали);

Ну и слать через экзим вовсе не обязательно. Например, спамеры могут рассылать самостоятельно смотря MX-запись и подключая к почтовому серверу средства php(по 25 порту).
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Roma-i-alena
11 1110 1000
11 1110 1000


Зарегистрирован: 03.05.2007
Сообщения: 1169
Откуда: vladimir
8115 Монеты

СообщениеДобавлено: Сб, 14 Июн, 2014 07:35    Заголовок сообщения: Ответить с цитатой

Логи мониторил переодически после восстановления. Все было нормально по части web. Единственное заметил мутное правило в cron для пользователья www-data, которое запускало странную прогу из /var/tmp. Удалил и прогу, и cron правило. Пытаюсь понять как оно появилось и как положили в /var/tmp прогу.
_________________
Жизнь никогда не заканчивается!!!
На то, собственно говоря, она и ЖИЗНЬ...
____________________________________
http://www.coderun.ru - Блог человека
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Roma-i-alena
11 1110 1000
11 1110 1000


Зарегистрирован: 03.05.2007
Сообщения: 1169
Откуда: vladimir
8115 Монеты

СообщениеДобавлено: Сб, 14 Июн, 2014 08:22    Заголовок сообщения: Ответить с цитатой

Проверка пошла по новой.
Вот что выдал rkhunter
Код:

rkhunter -c --rwo
Warning: Checking for prerequisites               [ Warning ]
         Unable to find 'lsattr' command - all file immutable-bit checks will be skipped.
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: No output found from the lsmod command or the /proc/modules file:
         /proc/modules output:
         lsmod output:
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /etc/.hosts.swp: Vim swap file, version 7.3


Root логин мне бывает нужен, оставил его сам. Но работаю в основном из-под обычного пользователя.

Меня напрягли два варнинга.
1) root.rules - его содержимое "SUBSYSTEM=="block", ENV{MAJOR}=="144", ENV{MINOR}=="171", SYMLINK+="root""
2) руби файл в /usr/dev - вот файл - https://dl.dropboxusercontent.com/u/386880/unhide.rb
_________________
Жизнь никогда не заканчивается!!!
На то, собственно говоря, она и ЖИЗНЬ...
____________________________________
http://www.coderun.ru - Блог человека
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Roma-i-alena
11 1110 1000
11 1110 1000


Зарегистрирован: 03.05.2007
Сообщения: 1169
Откуда: vladimir
8115 Монеты

СообщениеДобавлено: Вт, 24 Июн, 2014 04:47    Заголовок сообщения: Ответить с цитатой

Не прошло и месяца, как мне снова засуспендили аккаунт. ;(
Опять коннекты на 25 порт.
Порт был закрыт через iptable. Что это такое теперь не узнать до нового года
_________________
Жизнь никогда не заканчивается!!!
На то, собственно говоря, она и ЖИЗНЬ...
____________________________________
http://www.coderun.ru - Блог человека
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Сервис VPS от EOMY.NET Часовой пояс: GMT
Страница 1 из 1

 


Rambler's Top100   Рейтинг@Mail.ru    



Powered by phpBB © 2001, 2005 phpBB Group