Spam szerver

Debian GNU/Linux

Hi !

Sajnos lassan egy hete, van egy kellementlen visszajáró vendégünk egy szerveren.

Etch amd64
Apache2 - PHP 5 - user dir-ekkel
Postfix+Amavis+Spamassasin
Squirrelmail, Joomla
ProFtpd
kb. 600 user

Az ügyesnek sikerül a www-data -val változatos nevű perl scriptet futtatnia :(
....ami aztán küldi a spamet ezerrel a localhostról kapcsolódva a postfixhez
Apacsban mod_perl soha nem is volt
mod_cgi már kikapcsolva, de ezek ellenére is fut.

Jelenleg, manuálisan lövöm le a processeket (3-at indít, ugyan azon néven), ha sikerül neki... és sajnos szokott

Találkozatatok hasonlóval ?
Jelen pillanatban egy mail proxy közbeiktatása , illetve a web szerver
chrootolása - külön konténerbe (openvz) -be való helyezése tűnik megoldásnak.

  • 3416 megtekintés

( maniac | 2009. 05. 12., k – 09:54 )

Megtalalni hol a hiba, hol jon be az ugyes.
Aztan erdemes noexec mount parameteret hasznalni pl.

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

( covix v | 2009. 05. 12., k – 09:57 )

Volt nálunk is ilyen, FTP accot lopott.
Első körben greppelj rá a fájlnévre az xferlogban, majd' biztos, hogy megtalálod benne.
Usernek jelszó vált, meg ne mentse el a jelszavát.

+ előttem szóló...
KoviX

( onyx v | 2009. 05. 12., k – 09:59 )

Rakj meg egy mod_security-t az apache-ba, es rakj fel hozza szabalyokat a gotroot.com -os listabol, itt van egy csomo szabaly az ilyenek kivedesere. Ezen kivul php-ban allow_url_fopen legyen kikapcsolva.

Úgy fél éve volt egy vitánk az adminunkkal a mod_security-vel kapcsolatban.

Kissé paranoid módon lett beállítva, mi meg csodálkoztunk, hogy miért nem megy a létező legprimitívebb módon megírt program sem (kb. 4 soros .NET tesztprogram volt a végeredmény). Kiderült, hogy a .NET a szabványnak megfelelően a legminimálisabb request-t küldi alapból. mod_security meg eldobálta, mert nem volt user-agent. Nehogy már az ilyenektől legyen valami secure...

Másik korábbi probléma állítólag egy nagy táblázat postolása közben volt, mert túl sok űrlapmezőt tartalmazott...

----------------
Lvl86 Troll

( hokuszpk | 2009. 05. 12., k – 10:08 )

vedd el a www-data -tol a perl interpreter futtatasi lehetoseget.

chmod 750 perl

kell az neki valamire ?

( asd | 2009. 05. 12., k – 10:17 )

mi jartunk ugy, hogy a fejleszto include-olt egy GET valtozot ellenorzes nelkul, amivel a spammer geperol beszedtunk egy tetszoleges php scriptet amivel mar barmit lehet tenni.

nehany megfontolando php konfigszabaly (nem is az osszes):
allow_url_fopen = Off
allow_url_include = Off
save_mode = On
safe_mode_include_dir =
safe_mode_exec_dir =
safe_mode_allowed_env_vars = PHP_
safe_mode_protected_env_vars = LD_LIBRARY_PATH
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
expose_php = Off
error_reporting = 0
display_errors = Off
display_startup_errors = Off
register_globals = Off
enable_dl = Off

* wwwroot-ot noexec-kent mountolni
* php (ezzel egyutt apache) csak olyan konyvtarat irjon, ahonnan nem tud vegrehajtani

Pelda:
http://pastebin.com/m1c833863

es az index.php nem irhato az apache-nak:
-rw-r--r-- 1 user group 4841 2009-03-30 16:05 index.php

error_reporting = 0
miért, ha már egyszer
display_errors = Off
miközben
disable_functions -ban nem található ini_set

ezáltal szvsz ezeket gond nélkül vissza lehet állítani...

Én a user public_html -je fölé hoznék létre logfile -t a php loggoláshoz, mert ezzel gyakorlatilag megszüntetted a debug lehetőségét.
Bár ha a usernek van saját php.ini, akkor nem szóltam.

szürkehrteg
azenoldalamponthu

mondtam hogy nem teljes, kosz az ini_set-es hsz-t

azert error_reporting = 0, hogy ne lehessen ertekes infokat kiszivarogtatni azzal, hogy veletlen elcseszem a konfigot.

Igy direkt figyelembe kell venni az error_reporting-ot es a display_errorst is, szoval hiba kizarva.

Egyebkent ha van reporting, nalam syslogba megy, az pedig nincs azon a virtualis gepen tarolva, amirol a web kiszolgalodik.

asd

Ha üzembiztos cuccot hasznalsz, akkor nem baj.
Egy dzsumla, ill. hasonló cucc esetén viszont esetleg automatikusan mennek az ini_set -ek sorban...onnéttól meg mindegy, mit lőttél be error_reporting -ra.

En mindig tiltom az ini_set -et, mint ahogy kb azokat is, amit Te, azonban a php log rendelkezésre áll.
Ha debugolni kell, s nem nekem, akkor a delikvens ne a syslogot grepelgesse, mert az se kis sechole lenne...

szürkehrteg
azenoldalamponthu

( subset | 2009. 05. 12., k – 10:31 )

Köszönöm a gyors javaslatokat !!!
Neki is látok hamarosan.....

(A futtatot file természetesen nem található a filerendszeren)
Addig is: (192.168.1.2 a szerver)

#lsof

perl 28715 www-data cwd DIR 9,0 4096 2 /
perl 28715 www-data rtd DIR 9,0 4096 2 /
perl 28715 www-data txt REG 9,0 13440 1112697 /usr/bin/perl
perl 28715 www-data mem REG 0,0 0 [heap] (stat: No such file or directory)
perl 28715 www-data mem REG 9,0 97928 733338 /lib/ld-2.3.6.so
perl 28715 www-data mem REG 9,0 1254088 1112696 /usr/lib/libperl.so.5.8.8
perl 28715 www-data mem REG 9,0 10392 733353 /lib/libdl-2.3.6.so
perl 28715 www-data mem REG 9,0 531600 733349 /lib/libm-2.3.6.so
perl 28715 www-data mem REG 9,0 96493 733362 /lib/libpthread-2.3.6.so
perl 28715 www-data mem REG 9,0 1286104 733342 /lib/libc-2.3.6.so
perl 28715 www-data mem REG 9,0 22656 733335 /lib/libcrypt-2.3.6.so
perl 28715 www-data mem REG 9,0 119120 1112675 /usr/lib/perl/5.8.8/auto/POSIX/POSIX.so
perl 28715 www-data mem REG 9,0 19072 1112670 /usr/lib/perl/5.8.8/auto/IO/IO.so
perl 28715 www-data mem REG 9,0 21360 130305 /usr/lib/perl/5.8.8/auto/Socket/Socket.so
perl 28715 www-data mem REG 9,0 43368 733350 /lib/libnss_files-2.3.6.so
perl 28715 www-data mem REG 9,0 18696 733348 /lib/libnss_dns-2.3.6.so
perl 28715 www-data mem REG 9,0 76600 733345 /lib/libresolv-2.3.6.so
perl 28715 www-data 0r CHR 1,3 831 /dev/null
perl 28715 www-data 1w CHR 1,3 831 /dev/null
perl 28715 www-data 2w CHR 1,3 831 /dev/null
perl 28715 www-data 3u CHR 5,0 1587 /dev/tty
perl 28715 www-data 4u IPv6 11399423 TCP *:www (LISTEN)
perl 28715 www-data 5u CHR 136,0 2 (deleted) /dev/pts/0
perl 28715 www-data 6u sock 0,5 11399424 can't identify protocol
perl 28715 www-data 7w FIFO 0,6 11347573 pipe
perl 28715 www-data 8u IPv6 11399428 TCP *:https (LISTEN)
perl 28715 www-data 9u sock 0,5 11399429 can't identify protocol
perl 28715 www-data 10r FIFO 0,6 11399444 pipe
perl 28715 www-data 11w FIFO 0,6 11399444 pipe
perl 28715 www-data 12w REG 9,0 156099 733290 /var/log/apache2/error.log
perl 28715 www-data 13w REG 9,0 14160683 733154 /var/log/apache2/access.log
perl 28715 www-data 14w REG 9,0 17720803 733297 /var/log/apache2/rewrite.log
perl 28715 www-data 15w REG 9,0 0 521236 (deleted) /var/run/apache2/ssl_mutex
perl 28715 www-data 16r 0000 0,10 0 11995982 eventpoll
perl 28715 www-data 17u sock 0,5 11996226 can't identify protocol
perl 28715 www-data 18u IPv4 12546947 TCP 192.168.1.2:36973->122.21.144.static.server.ua:www (SYN_SENT)
perl 28715 www-data 19w FIFO 0,6 11996230 pipe
perl 28715 www-data 20r FIFO 0,6 11996231 pipe
perl 28716 www-data cwd DIR 9,0 4096 2 /
perl 28716 www-data rtd DIR 9,0 4096 2 /
perl 28716 www-data txt REG 9,0 13440 1112697 /usr/bin/perl
perl 28716 www-data mem REG 0,0 0 [heap] (stat: No such file or directory)
perl 28716 www-data mem REG 9,0 97928 733338 /lib/ld-2.3.6.so
perl 28716 www-data mem REG 9,0 1254088 1112696 /usr/lib/libperl.so.5.8.8
perl 28716 www-data mem REG 9,0 10392 733353 /lib/libdl-2.3.6.so
perl 28716 www-data mem REG 9,0 531600 733349 /lib/libm-2.3.6.so
perl 28716 www-data mem REG 9,0 96493 733362 /lib/libpthread-2.3.6.so
perl 28716 www-data mem REG 9,0 1286104 733342 /lib/libc-2.3.6.so
perl 28716 www-data mem REG 9,0 22656 733335 /lib/libcrypt-2.3.6.so
perl 28716 www-data mem REG 9,0 119120 1112675 /usr/lib/perl/5.8.8/auto/POSIX/POSIX.so
perl 28716 www-data mem REG 9,0 19072 1112670 /usr/lib/perl/5.8.8/auto/IO/IO.so
perl 28716 www-data mem REG 9,0 21360 130305 /usr/lib/perl/5.8.8/auto/Socket/Socket.so
perl 28716 www-data mem REG 9,0 43368 733350 /lib/libnss_files-2.3.6.so
perl 28716 www-data mem REG 9,0 18696 733348 /lib/libnss_dns-2.3.6.so
perl 28716 www-data mem REG 9,0 76600 733345 /lib/libresolv-2.3.6.so
perl 28716 www-data 0r CHR 1,3 831 /dev/null
perl 28716 www-data 1w CHR 1,3 831 /dev/null
perl 28716 www-data 2w CHR 1,3 831 /dev/null
perl 28716 www-data 3u CHR 5,0 1587 /dev/tty
perl 28716 www-data 4u IPv6 11399423 TCP *:www (LISTEN)
perl 28716 www-data 5u CHR 136,0 2 (deleted) /dev/pts/0
perl 28716 www-data 6u sock 0,5 11399424 can't identify protocol
perl 28716 www-data 7w FIFO 0,6 11347573 pipe
perl 28716 www-data 8u IPv6 11399428 TCP *:https (LISTEN)
perl 28716 www-data 9u sock 0,5 11399429 can't identify protocol
perl 28716 www-data 10r FIFO 0,6 11399444 pipe
perl 28716 www-data 11w FIFO 0,6 11399444 pipe
perl 28716 www-data 12w REG 9,0 156099 733290 /var/log/apache2/error.log
perl 28716 www-data 13w REG 9,0 14161914 733154 /var/log/apache2/access.log
perl 28716 www-data 14w REG 9,0 17722201 733297 /var/log/apache2/rewrite.log
perl 28716 www-data 15w REG 9,0 0 521236 (deleted) /var/run/apache2/ssl_mutex
perl 28716 www-data 16r 0000 0,10 0 11995982 eventpoll
perl 28716 www-data 17u sock 0,5 11996226 can't identify protocol
perl 28716 www-data 19w FIFO 0,6 11996230 pipe
perl 28716 www-data 20r FIFO 0,6 11996231 pipe
perl 28716 www-data 246u IPv4 12547923 TCP 192.168.1.2:55358->200.142.88.172:smtp (SYN_SENT)
perl 28716 www-data 255u IPv4 12547924 TCP 192.168.1.2:56359->204.128.61.190.host.ifxnetworks.com:smtp (ESTABLISHED)
perl 28716 www-data 256u IPv4 12547944 TCP 192.168.1.2:34161->mail-in.roc2.bluetie.com:smtp (SYN_SENT)
perl 28716 www-data 258u IPv4 12547903 TCP
perl 28716 www-data 270u IPv4 12547909 TCP 192.168.1.2:35958->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 271u IPv4 12547896 TCP 192.168.1.2:51424->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 272u IPv4 12547897 TCP 192.168.1.2:35949->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 273u IPv4 12547898 TCP 192.168.1.2:58138->virtual2.mx.freenet.de:smtp (SYN_SENT)
perl 28716 www-data 274u IPv4 12547948 TCP 192.168.1.2:51462->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 275u IPv4 12547934 TCP 192.168.1.2:35823->mx1.datacomm.ch:smtp (SYN_SENT)
perl 28716 www-data 276u IPv4 12547904 TCP 192.168.1.2:44291->mx01.t-online.de:smtp (SYN_SENT)
perl 28716 www-data 277u IPv4 12547905 TCP 192.168.1.2:44292->mx01.t-online.de:smtp (SYN_SENT)
perl 28716 www-data 278u IPv4 12547906 TCP 192.168.1.2:35956->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 279u IPv4 12547908 TCP 192.168.1.2:51433->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 280u IPv4 12547930 TCP 192.168.1.2:51447->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 281u IPv4 12547951 TCP 192.168.1.2:35988->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 282u IPv4 12547912 TCP 192.168.1.2:51437->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 283u IPv4 12547953 TCP 192.168.1.2:36139->mx.bol.com.br:smtp (SYN_SENT)
perl 28716 www-data 284u IPv4 12547935 TCP 192.168.1.2:51451->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 285u IPv4 12547941 TCP 192.168.1.2:33229->mail-ext.cfe.gob.mx:smtp (SYN_SENT)
perl 28716 www-data 286u IPv4 12547959 TCP 192.168.1.2:41194->mx1.bund.de:smtp (SYN_SENT)
perl 28716 www-data 287u IPv4 12548146 TCP 192.168.1.2:37893->ipx14016.ipxserver.de:smtp (SYN_SENT)
perl 28716 www-data 288u IPv4 12547918 TCP 192.168.1.2:51441->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 289u IPv4 12547922 TCP 192.168.1.2:51454->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 293u IPv4 12547942 TCP 192.168.1.2:51456->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 294u IPv4 12547943 TCP 192.168.1.2:32823->nb-mx-vip4b.prodigy.net:smtp (SYN_SENT)
perl 28716 www-data 295u IPv4 12547966 TCP 192.168.1.2:51474->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 296u IPv4 12548167 TCP 192.168.1.2:53903->sbbmail3.sbb.ch:smtp (SYN_SENT)
perl 28716 www-data 297u IPv4 12547993 TCP 192.168.1.2:35984->mx-b.kundenserver.de:smtp (SYN_SENT)
perl 28716 www-data 298u IPv4 12548017 TCP 192.168.1.2:37831->ipx14016.ipxserver.de:smtp (SYN_SENT)
perl 28716 www-data 299u IPv4 12548067 TCP 192.168.1.2:35434->tor.mshquil.com.ar:smtp (SYN_SENT)
perl 28716 www-data 300u IPv4 12547986 TCP 192.168.1.2:45742->mailgate1.m-petfilm.de:smtp (ESTABLISHED)
perl 28716 www-data 301u IPv4 12548069 TCP 192.168.1.2:43119->mta-v1.mail.vip.re3.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 302u IPv4 12547958 TCP 192.168.1.2:51469->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 303u IPv4 12547961 TCP 192.168.1.2:51472->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 304u IPv4 12547963 TCP 192.168.1.2:35997->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 305u IPv4 12548018 TCP 192.168.1.2:57072->mail.winkler-stenzel.de:smtp (SYN_SENT)
perl 28716 www-data 306u IPv4 12548060 TCP 192.168.1.2:53057->fulltech-colo2.colo.bit.nl:smtp (SYN_SENT)
perl 28716 www-data 307u IPv4 12547995 TCP 192.168.1.2:34416->imr2.ericy.com:smtp (SYN_SENT)
perl 28716 www-data 308u sock 0,5 12547973 can't identify protocol
perl 28716 www-data 309u IPv4 12548037 TCP 192.168.1.2:50171->toleman.trama.com.br:smtp (SYN_SENT)
perl 28716 www-data 310u IPv4 12548054 TCP 192.168.1.2:40265->cardaciusa.elserver.com:smtp (SYN_SENT)
perl 28716 www-data 311u IPv4 12547982 TCP 192.168.1.2:58231->mx.uol.com.br:smtp (SYN_SENT)
perl 28716 www-data 312u IPv4 12548050 TCP 192.168.1.2:45514->mxa13.expurgate.net:smtp (SYN_SENT)
perl 28716 www-data 313u IPv4 12548029 TCP 192.168.1.2:43276->nowhere.dk.telia.net:smtp (SYN_SENT)
perl 28716 www-data 314u IPv4 12548094 TCP 192.168.1.2:40660->200.169.216.30:smtp (SYN_SENT)
perl 28716 www-data 315u IPv4 12547989 TCP 192.168.1.2:47598->mail-ew0-f18.google.com:smtp (SYN_SENT)
perl 28716 www-data 329u IPv4 12548045 TCP 192.168.1.2:39942->smtp.fundec.com.br:smtp (SYN_SENT)
perl 28716 www-data 330u IPv4 12548071 TCP 192.168.1.2:37359->mx01.mx-server.net:smtp (SYN_SENT)
perl 28716 www-data 331u IPv4 12548059 TCP 192.168.1.2:44855->vmx.terra.com:smtp (SYN_SENT)
perl 28716 www-data 332u IPv4 12548026 TCP 192.168.1.2:32866->nb-mx-vip4b.prodigy.net:smtp (SYN_SENT)
perl 28716 www-data 333u IPv4 12548046 TCP 192.168.1.2:50658->mx.tb.mail.iss.as9143.net:smtp (SYN_SENT)
perl 28716 www-data 334u IPv4 12548061 TCP 192.168.1.2:60553->mxg.netcologne.de:smtp (SYN_SENT)
perl 28716 www-data 335u IPv4 12548102 TCP 192.168.1.2:47418->80.86.185.206:smtp (SYN_SENT)
perl 28716 www-data 336u IPv4 12548068 TCP 192.168.1.2:44861->vmx.terra.com:smtp (SYN_SENT)
perl 28716 www-data 337u IPv4 12548033 TCP 192.168.1.2:50655->mx.tb.mail.iss.as9143.net:smtp (SYN_SENT)
perl 28716 www-data 338u IPv4 12548095 TCP 192.168.1.2:38841->mx-uolar.uol.com.br:smtp (SYN_SENT)
perl 28716 www-data 339u IPv4 12548211 UDP *:59285
perl 28716 www-data 340u IPv4 12548118 TCP 192.168.1.2:37603->smtp-mx6.mac.com:smtp (SYN_SENT)
perl 28716 www-data 341u IPv4 12548123 TCP 192.168.1.2:40757->postino1.prima.com.ar:smtp (SYN_SENT)
perl 28716 www-data 342u IPv4 12548072 TCP 192.168.1.2:58274->mx.uol.com.br:smtp (SYN_SENT)
perl 28716 www-data 343u IPv4 12548100 TCP 192.168.1.2:38844->mx-uolar.uol.com.br:smtp (SYN_SENT)
perl 28716 www-data 344u IPv4 12548110 TCP 192.168.1.2:46577->gralha.furb.br:smtp (SYN_SENT)
perl 28716 www-data 345u IPv4 12548076 TCP 192.168.1.2:40812->bld10.srv.portugalmail.net:smtp (SYN_SENT)
perl 28716 www-data 346u IPv4 12548113 TCP 192.168.1.2:54021->regulus.mgi.de:smtp (SYN_SENT)
perl 28716 www-data 347u IPv4 12548078 UDP *:59217
perl 28716 www-data 348u IPv4 12548079 TCP 192.168.1.2:44496->mx.netcabo.pt:smtp (ESTABLISHED)
perl 28716 www-data 349u IPv4 12548080 UDP *:59218
perl 28716 www-data 350u IPv4 12548103 TCP 192.168.1.2:37896->idcmail-mx1so.cg.shawcable.net:smtp (SYN_SENT)
perl 28716 www-data 351u IPv4 12548098 TCP 192.168.1.2:37891->idcmail-mx1so.cg.shawcable.net:smtp (SYN_SENT)
perl 28716 www-data 352u IPv4 12548086 TCP 192.168.1.2:37752->mail-qy0-f25.google.com:smtp (SYN_SENT)
perl 28716 www-data 353u sock 0,5 12548087 can't identify protocol
perl 28716 www-data 354u IPv4 12548088 TCP 192.168.1.2:51530->bay0-mc11-f.bay0.hotmail.com:smtp (SYN_SENT)
perl 28716 www-data 355u IPv4 12548090 TCP 192.168.1.2:43128->mta-v1.mail.vip.re3.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 356u IPv4 12548133 TCP 192.168.1.2:60809->mail-qy0-f27.google.com:smtp (SYN_SENT)
perl 28716 www-data 357u IPv4 12548112 apache2 27603 www-data mem REG 9,0 71759 99194 /usr/local/squirrelmail/www/locale/hu_HU/LC_MESSAGES/squirrelmail.mo
perl 28716 www-data 560u IPv4 12549897 TCP 192.168.1.2:37173->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 562u IPv4 12549899 TCP 192.168.1.2:37175->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 563u IPv4 12549900 TCP 192.168.1.2:37176->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 564u IPv4 12549902 TCP 192.168.1.2:37178->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 565u IPv4 12549903 TCP 192.168.1.2:37179->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28716 www-data 717u IPv4 12550144 TCP 192.168.1.2:37328->mta-v12.mail.vip.re4.yahoo.com:smtp (SYN_SENT)
perl 28717 www-data cwd DIR 9,0 4096 2 /
perl 28717 www-data rtd DIR 9,0 4096 2 /
perl 28717 www-data txt REG 9,0 13440 1112697 /usr/bin/perl
perl 28717 www-data mem REG 0,0 0 [heap] (stat: No such file or directory)
perl 28717 www-data mem REG 9,0 97928 733338 /lib/ld-2.3.6.so
perl 28717 www-data mem REG 9,0 1254088 1112696 /usr/lib/libperl.so.5.8.8
perl 28717 www-data mem REG 9,0 10392 733353 /lib/libdl-2.3.6.so
perl 28717 www-data mem REG 9,0 531600 733349 /lib/libm-2.3.6.so
perl 28717 www-data mem REG 9,0 96493 733362 /lib/libpthread-2.3.6.so
perl 28717 www-data mem REG 9,0 1286104 733342 /lib/libc-2.3.6.so
perl 28717 www-data mem REG 9,0 22656 733335 /lib/libcrypt-2.3.6.so
perl 28717 www-data mem REG 9,0 119120 1112675 /usr/lib/perl/5.8.8/auto/POSIX/POSIX.so
perl 28717 www-data mem REG 9,0 19072 1112670 /usr/lib/perl/5.8.8/auto/IO/IO.so
perl 28717 www-data mem REG 9,0 21360 130305 /usr/lib/perl/5.8.8/auto/Socket/Socket.so
perl 28717 www-data mem REG 9,0 43368 733350 /lib/libnss_files-2.3.6.so
perl 28717 www-data mem REG 9,0 18696 733348 /lib/libnss_dns-2.3.6.so
perl 28717 www-data mem REG 9,0 76600 733345 /lib/libresolv-2.3.6.so
perl 28717 www-data 0r CHR 1,3 831 /dev/null
perl 28717 www-data 1w CHR 1,3 831 /dev/null
perl 28717 www-data 2w CHR 1,3 831 /dev/null
perl 28717 www-data 3u CHR 5,0 1587 /dev/tty
perl 28717 www-data 4u IPv6 11399423 TCP *:www (LISTEN)
perl 28717 www-data 5u CHR 136,0 2 (deleted) /dev/pts/0
perl 28717 www-data 6u sock 0,5 11399424 can't identify protocol
perl 28717 www-data 7w FIFO 0,6 11347573 pipe
perl 28717 www-data 8u IPv6 11399428 TCP *:https (LISTEN)
perl 28717 www-data 9u sock 0,5 11399429 can't identify protocol
perl 28717 www-data 10r FIFO 0,6 11399444 pipe
perl 28717 www-data 11w FIFO 0,6 11399444 pipe
perl 28717 www-data 12w REG 9,0 156293 733290 /var/log/apache2/error.log
perl 28717 www-data 13w REG 9,0 14162388 733154 /var/log/apache2/access.log
perl 28717 www-data 14w REG 9,0 17722855 733297 /var/log/apache2/rewrite.log
perl 28717 www-data 15w REG 9,0 0 521236 (deleted) /var/run/apache2/ssl_mutex
perl 28717 www-data 16r 0000 0,10 0 11995982 eventpoll
perl 28717 www-data 17u sock 0,5 11996226 can't identify protocol
perl 28717 www-data 19w FIFO 0,6 11996230 pipe
perl 28717 www-data 20r FIFO 0,6 11996231 pipe

( pepo v | 2009. 05. 12., k – 13:15 )

Már többször akartam hozzászólni, de mindig elvetettem az ötletemet.
Nos, én arra gondolok végül is, hogy neked egy rootkited lehet. Keress valami olyasmi folyamatot, ami időzítetten fut le (rcon, vagy at).
A feltevésemet igazolja, hogy nincs meg a futó program...
Próbáld csak ki: 


#!/usr/bin/perl

ide:
print "\n$x bigyo";
$x++;
goto ide;

Futása közben nevezd át, vagy töröld ki a programot. A memóriából tovább fog futni, amíg ki nem lövöd. Vagyis a programod elindítja magát, majd áthelyezi valahová máshová magát, és ütemezi is, mikor induljon legközelebb.

( uid_194 | 2009. 05. 12., k – 14:12 )

Legutobb, amikor ilyet lattam, akkor egy Joomla!-t tortek meg. Feltoltotte a scriptet az urge, ami rogton azzal kezdte, hogy torolte magat, igy a filerendszeren mar nem lehetett megtalalni, de mivel mar betoltodott, boldogan futkarozott tovabb (idonkent kiirva sajat magat lemezre & ujrainditva, ha netan kilonek).

Egy masik esetben - ahogy korabbi hozzaszolo is irta - FTP accountot tortek meg, es irtak at egy php scriptet, ami kiirta a perl kodot lemezre, elinditotta & torolte. (Egy korabbi valtozat netrol probalta letolteni a perl kodot, es direktbe pipeolni perlnek, igy lemezre soha meg sem erkezett).

Roviden: a megoldas az lenne, hogy megtalalod hogyan es mikent tort meg, es befoltozod azt a lyukat. Minden mas csak ideiglenes hackeles, es keves hatasa lesz.

( subset | 2009. 05. 12., k – 23:22 )

Sziasztok !

Tényleg nagyon köszönöm a segítséget, tanácsokat , és a beigazolódott jóslatokat !
Tehát egy torontói ip-ről lopott ftp jelszóval, az adott user public_html -jébe került ( legutoljára kbkkxx.pl néven) egy perl script, és egy php script ami indította a perlest, majd törölték is magukat.

/usr/bin/perl kapott 750-es jogot és egy újonnan létrehozott csoportot, amibe belekerült az amavis és munin felhasználó, mert ezeket még szeretném használni :)
és természetesen ftp user jelszó megváltoztat

ezek után elgondolkodtató lehet, ezek nélkül public_html-t üzemeltetni, mondjuk a webmester jelszavát is ellophatják ?!

Sajnos részben örökség ez a szerver, de biztos, hogy nyáron reform lesz, és minden izolálva (openvz) fog futni :)

THX

Köszi a biztatást :)

Természetesen én sem érem be ennyivel, tudom nem ez a megoldás, és nem csak így állok a problémamegoldáshoz, jobb ha ezzel tisztában vagy ! Nem dőltem hátra és tettem az asztalra a lábam.
Sajnos én egy magányos, sz@r rendszergazda vagyok, minden "tudásom" magamtól kellett megszereznem.
Nincs ismerős, volt és jelenlegi munkatárs, haver, bárki, akitől segítséget kérhetnék, konzultálhatnék, tanulhatnék tőle, így hidd el nem könnyű, "jó"-nak lenni. Ezért is írtam ide a hup-ra, és nagyon köszönöm mindenkinek a segítséget.
Amíg nem volt ez a dolog, nem tudtam, hogy mit csináltam rosszul. Milyen irányba kell koncentrálnom, mit kell megtanulnom. Azt is elhiheted, hogy meg fogom tanulni, utána fogok járni.
És azt is jó ha tudod, nekem ez a szerver a harmad-állásom de inkább hoby, más területen kell keresnem a kenyerem, ebből következik, hogy nem tudok annyi időt ezzel tölteni, és tapasztalatot szerezni mint egy hivatásos.

( kiuka | 2009. 05. 16., szo – 23:44 )

eloszor is mindenkinek kene egy open_basedir + disable_functions mint mar elottem is irtak, utana pedig a sendmail scriptet lecserelni es vizsgalgatni ki mennyit kuld, nagyjabol ezzel meg is van oldva a problema.

( Batman | 2009. 05. 17., v – 18:04 )

Szia,

Én amit a helyedben tennék az már a fentebb felsorolt php.ini-s beállítások, akár minden usernek külön php.ini melyben a safe mod on, register globals off, open base dir is beállítva és még van pár beállítás amit meg lehet tenni.
Minden kimenő emailt is átengedném a spam szűrőn. És végül de nem utolsó sorban itt van ez:

Én használom és nekem bevált.
Minden egyes usert külön lehet szabályozni hány emailt küldhet , percre pontosan láthatod ki mennyi levelet küldött és és azt is loggolja melyik domain melyik php-ja küldte a leveleket.
Ha elérte a kvotáját onnétól nem tud levelet küldeni.

üdv

Ez érdekes lehet(ne), de postfix-ünk van, azért megnézem...
A php.ini a lehetőségekhez mérten beállítva.
A usereknek hamarosan lesz egy külön konténer, ahol megpróbálom legjobb tudásom szerint megkötni a kezüket, illetve
lehetőségük sem lesz majd a levelezgetésre.
Thx

akár minden usernek külön php.ini melyben a safe mod on, register globals off, open base dir is beállítva

a register_globals, safe_mode az lehet globalisan is off/on.

Nalam egy make && bash && m4 combo generalja le az apache konfig filet, minden usernek kulon VirtualHost-tal, amiben az open_basedir pl mindig mas es mas. Pl:

http://pastebin.com/f2438adba

ha valakit erdekel, irok majd nehany szot az m4/bash/make triorol is.
a trapmail egy kis shell script, ami a headerbe beleir egy kis bejegyzest, hogy melyik domain kuldte a mailt... ha valahol elszall egy spambot, kilovom es lekapcsolom a domainre iranyulok http elerest (1 bit egy mysql tablaban)

asd

( hnsz2002 v | 2009. 05. 17., v – 23:26 )

Nem kell ennek semmi mod_cgi, shellbe fut.

A www-data crontabjába szoktak beágyazódni, onnan indítja magát mindig...
Pucold ki, aztán töröld a fájlt, végül ln -s /dev/null www-data.

A process PID-ja alapján meg tudod nézni /proc-ban a fájlnevet, majd törlöd.
Aztán rkhunter.
--
Discover It - Have a lot of fun!