похоже, на мой сервер попал спамер. Я новичок в LAMP и не знаю, как найти мою уязвимость, не уверен, SMTP, сценарии или где. Мой сервер работал нормально больше года, но теперь он скомпрометирован.
Вы знаете какое-нибудь хорошее руководство (для чайников или новичков) о том, как защитить мой сервер?
Только сегодня (за 12 часов) я получил около 3 000 писем о «неудачах». Мой ip забанен ...
Любая помощь приветствуется
Вполне возможно, что сервер на самом деле не был взломан, а вы просто используете открытый ретранслятор.
В качестве первого шага убедитесь, что SMTP (TCP-порт 25) заблокирован на вашем брандмауэре (при условии, что вы не получаете почту на этом сервере, а только отправляете ее. Если вы также получаете почту, убедитесь, что вы аутентифицируете пользователей)
Также проверьте любые веб-формы, которые у вас есть для отправки электронных писем - ими часто можно злоупотреблять для отправки почты куда угодно, а не только на адрес, который вы намеревались.
Сначала вам нужно знать, действительно ли они взломали ваш сервер или просто подделывают адрес вашего почтового сервера. Вы в журналах смотрели? Вы наблюдаете необычную активность на сервере базы данных, веб-сервере, почтовом сервере? Вы наблюдаете необычную сетевую активность?
Если сервер был скомпрометирован, вам необходимо отключить его и, вероятно, придется стереть и переустановить из заведомо исправных резервных копий, а также применить обновления ко всем вашим компонентам и фреймворкам. Вы были в курсе последних событий?
Вы запускали какое-либо программное обеспечение для обнаружения вторжений? Что-то вроде Tripwire, снимающего MD5 ваших файлов, чтобы вы могли определить, что было изменено? Запустили ли вы какие-либо программы для обнаружения руткитов, чтобы узнать, как кто-то мог попасть в систему или что может быть установлено?
Если ваш сервер был скомпрометирован, если кто-то другой получил root-права, он мог легко заменить системные двоичные файлы, так что вы не можете ничему доверять. Ни даже ls, ps или top, которые можно было бы заменить руткитами, чтобы скрыть вредоносные процессы. Единственное, что вы действительно можете сделать, - это подключить к сети другую заведомо чистую систему и посмотреть, какая необычная активность исходит от вашего сервера.
Есть неплохой шанс, что вы сможете найти какую-то активность в файлах журнала, если злоумышленник не заметил свои следы. Но опять же, им нельзя полностью доверять, если это был компромисс. Вы можете обойти это, только настроив демон ведения журнала для зеркалирования журналов на другой сервер, единственной целью которого является объединение журналов из систем.
Поэтому определите, действительно ли ваш сервер был взломан, и, если у вас есть какие-либо признаки этого, отключите его и очистите, переустановив из заведомо исправных резервных копий. Сделайте судебную копию своих дисков, если хотите попытаться выяснить, что произошло.