Я смотрю на сервер, который, похоже, был взломан из-за ошибки в плагине wordpress и теперь рассылает спам.
Этот пост, кажется, дает очень хороший отчет о том, что я вижу.
Итак, я предпринял следующие шаги ...
перечислить пользователей, запускающих файлы в crontab.
for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done | more
Бинго, множество скриптов для моего ПОЛЬЗОВАТЕЛЯ, которые выглядят подозрительно. В этом списке много этой строчки ..
* * * * * /home/tart/public_html/wp-includes/SimplePie/Content/1.sh
Поэтому я редактирую crontab для этого пользователя и удаляю их.
crontab -u tart -e
Теперь я запускаю это, чтобы увидеть, отправляется ли еще диапазон ...
tail -n 10 /var/log/exim_mainlog -F
ARRGH, он все еще жив.
Хорошо, позвольте мне взглянуть на TOP
30596 root 20 0 71728 5864 3680 S 0.3 0.1 0:00.01 exim
30602 root 20 0 71728 5864 3680 S 0.3 0.1 0:00.01 exim
30608 root 20 0 71724 5860 3680 S 0.3 0.1 0:00.01 exim
30609 mailnull 20 0 71736 5244 3088 D 0.3 0.1 0:00.01 exim
Теперь я не использую почту на этом сервере, а только на веб-сервере. Так что exim мной не используется.
Так что позвольте мне остановить exim.
/etc/init.d/exim status
/etc/init.d/exim stop
/etc/init.d/exim status
exim теперь сообщает как остановленный
Поэтому я снова проверяю журнал (tail -n 10 / var / log / exim_mainlog -F)
В журнале все еще появляется информация.
Позвольте мне еще раз проверить статус ...
/etc/init.d/exim status
exim (pid 3169 3159) is running...
ARGGG.
Также я вижу множество спам-сообщений в очереди на отправку .... exim -bp
Итак, мой вопрос такой.
Как мне это остановить?!?
У меня есть панель «WHM Accelerated2», и когда я проверяю «Диспетчер служб», я вижу, что «почтовый сервер exim» и «почтовый сервер exim (но другой порт)» отключены.
Примечание: это «стандарт CENTOS 6.5 x86_64 - ds-71494 WHM 11.46.0 (сборка 17)»
Дополнительная информация:
Это список заданий cron для root.
root
0 6 * * * /usr/local/cpanel/scripts/exim_tidydb > /dev/null 2>&1
30 5 * * * /usr/local/cpanel/scripts/optimize_eximstats > /dev/null 2>&1
2,58 * * * * /usr/local/bandmin/bandmin
0 0 * * * /usr/local/bandmin/ipaddrmap
53 22 * * * /usr/local/cpanel/scripts/upcp --cron
0 1 * * * /usr/local/cpanel/scripts/cpbackup
0 2 * * * /usr/local/cpanel/bin/backup
35 * * * * /usr/bin/test -x /usr/local/cpanel/bin/tail-check && /usr/local/cpanel/bin/tail-check
45 */4 * * * /usr/bin/test -x /usr/local/cpanel/scripts/update_mailman_cache && /usr/local/cpanel/scripts/update_mailman_cache
30 */4 * * * /usr/bin/test -x /usr/local/cpanel/scripts/update_db_cache && /usr/local/cpanel/scripts/update_db_cache
45 */8 * * * /usr/bin/test -x /usr/local/cpanel/bin/optimizefs && /usr/local/cpanel/bin/optimizefs
30 */2 * * * /usr/local/cpanel/bin/mysqluserstore >/dev/null 2>&1
15 */2 * * * /usr/local/cpanel/bin/dbindex >/dev/null 2>&1
15 */6 * * * /usr/local/cpanel/scripts/autorepair recoverymgmt >/dev/null 2>&1
*/5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
23 22 * * * /usr/local/cpanel/whostmgr/docroot/cgi/cpaddons_report.pl --notify
5,20,35,50 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1
ОБНОВИТЬ
Я на 98% уверен, что знаю, как произошла атака, и на 98% уверен, что дыра, которую они использовали, закрыта. (Я не могу быть уверен, что другой дыры не существует)
Отключить его: это не так просто, поскольку это размещенный сервер.
Rebuild: да, дайте мне несколько дней, чтобы разобраться с этим, но прямо сейчас я хочу остановить спам и немного больше узнать о том, как активируется exim.
Меня беспокоит то, что exim работает от имени root (как показано сверху). Мой пароль root, который я изменил вчера вечером, был / имеет формат 123 $ £! 23 # asd2 "(не простой пароль)
Глядя на количество исходящих, я вижу ...
root@ds-111110 [~]# grep '<=' /var/log/exim_mainlog | awk '{print $5}' | grep \@
5227 tart@ds-11110.com
619519 root@ds-11110.com
Таким образом, похоже, что root является главным виновником спама, снова меня беспокоит.
Также обратите внимание, что на этом сервере нет клиентских / конфиденциальных данных, что упрощает восстановление.
Хотя я очень сильно думаю, что ты должен уничтожить любое восстановление любой скомпрометированной системы, вот некоторая информация для устранения симптома.
В системе * nix агент пересылки почты (MTA) обычно включает двоичный файл, который имитирует интерфейс sendmail. Любая программа в вашей системе может вызвать это, чтобы добавить сообщение. Остановка MTA Daemon не останавливает этот двоичный файл от приема сообщений, и в зависимости от MTA этот двоичный файл даже доставит сообщение в Интернет без запущенного MTA-демона.
Некоторые программы также могут устанавливать исходящие соединения tcp / 25, полностью обходя MTA.
В вашем случае вполне вероятно, что ваши скрипты просто вызывают sendmail. Остановка демона не делает ничего полезного для остановки электронной почты. Простым временным решением может быть добавление правил iptables, которые полностью блокируют выходные соединения tcp / 25, tcp / 465, tcp / 587. Это хорошо известные порты SMTP. Вы также можете изменить разрешения на /usr/sbin/sendmail, и сделайте так, чтобы он не исполнялся (chmod 0644 /usr/sbin/sendmail).
Это не решение вашей проблемы, это всего лишь временная заглушка, пока вы делаете окончательную резервную копию и собираете все данные перед перестройкой вашей системы.
Вам нужно найти истинный корень вашей проблемы и исправить это.