Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Около недели назад бот взломал один из наших linux-серверов и отправил с него 70 тысяч спам-писем. Я просмотрел логи и узнал, в какое время бот подключался, какие письма кому отправлялись и какой IP-адрес использовал бот. Однако я понятия не имею, как он на самом деле отправлял письма. История bash кажется пустой, и кажется, что там нет файлов, измененных (я проверил с помощью "find"). Нам нравится следить за тем, чтобы где-то не было скрытых программ, которые начинают рассылать спам или что еще хуже, как только мы снова включаем сервер в сеть.
Итак, я спрашиваю: есть ли идеи о том, как бот отправляет эти электронные письма? Может быть, он просто выполнил одну большую команду в bash? Стоит ли полностью переустанавливать ОС на сервере, или же безопасно продолжать работу с «взломанной» системой?
заранее спасибо
Прежде всего - вы должны предположить, что вся машина взломана. Не подключайте его обратно - перестройте все заново. Скорее всего, вы не видите ничего полезного в истории bash, потому что был использован какой-то руткит.
А проблема с руткитами в том, что любые инструменты, которые вы используете для их поиска, можно подделать.
Возможно, они использовали отдельный экземпляр bash или ваша история и файлы журнала bash были скомпрометированы - на данном этапе сложно сказать.
Взгляните на Security Stack Exchange вопросы по руткитам для получения дополнительной информации.
Возможно, ваш демон smtp просто неправильно настроен, что позволяет ретранслировать электронные письма во все домены.