* [Comm] Взлом?
@ 2005-09-28 12:26 Алексей Данилович
2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin
0 siblings, 1 reply; 6+ messages in thread
From: Алексей Данилович @ 2005-09-28 12:26 UTC (permalink / raw)
To: community
Доброго времени суток.
Возникла следующая проблема.
netstat -ap
стал выдавать звязь с компом в инете на странные порты вроде afs-server.... Просмотр программы по пиду, показал, что от имени апача запущен bash.
Возможна ли такая ситуация или это скорее всего сломали апач? И кто такой afs-server вообще?
после убийства этого процесса коннекты пропали....
Спасибо.
^ permalink raw reply [flat|nested] 6+ messages in thread
* [Comm] Re: Взлом?
2005-09-28 12:26 [Comm] Взлом? Алексей Данилович
@ 2005-09-28 13:48 ` Michael Shigorin
2005-09-28 19:17 ` Алексей Данилович
0 siblings, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2005-09-28 13:48 UTC (permalink / raw)
To: community
On Wed, Sep 28, 2005 at 04:26:37PM +0400, Алексей Данилович wrote:
> Возникла следующая проблема.
> netstat -ap
> стал выдавать звязь с компом в инете на странные порты вроде
> afs-server.... Просмотр программы по пиду, показал, что от
> имени апача запущен bash. Возможна ли такая ситуация или это
> скорее всего сломали апач? И кто такой afs-server вообще?
Если апач текущий -- скорее пробили какую-то дрянь, которая
на нём крутилась. phpbb2 там или awstats.
> после убийства этого процесса коннекты пропали....
Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID
и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Re: Взлом?
2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin
@ 2005-09-28 19:17 ` Алексей Данилович
2005-09-29 9:17 ` Michael Shigorin
0 siblings, 1 reply; 6+ messages in thread
From: Алексей Данилович @ 2005-09-28 19:17 UTC (permalink / raw)
To: shigorin, ALT Linux Community
Michael Shigorin пишет:
>>после убийства этого процесса коннекты пропали....
>
>
> Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID
> и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/).
>
Хм... спасибо, попробую. Я как раз думал, как бы взглянуть на то, что
именно запустилось. В продолжении темы.
Причиной проверки "по факту", выявившей данную ситуацию, явилась жалоба,
на то, что не отправляется почта.... Обнаружилось крайнее засорение
почтовой очереди. По логам лезло огромное число записей типа
from=<> .... и т.д. то есть без указания как адреса отправителя, так и
ip. В каком случае могут образовываться такие записи? Только если письма
формируются напрямую с сервера? есть подозрение, что эта вползшая
гадость пыталась спам рассылать.....
--
WBR,
Alexey Danilovich
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Re: Взлом?
2005-09-28 19:17 ` Алексей Данилович
@ 2005-09-29 9:17 ` Michael Shigorin
0 siblings, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2005-09-29 9:17 UTC (permalink / raw)
To: ALT Linux Community
On Wed, Sep 28, 2005 at 11:17:00PM +0400, Алексей Данилович wrote:
> Причиной проверки "по факту", выявившей данную ситуацию,
> явилась жалоба, на то, что не отправляется почта....
Хороший провайдер, вовремя отсёк доставку.
> Обнаружилось крайнее засорение почтовой очереди. По логам лезло
> огромное число записей типа from=<> .... и т.д. то есть без
> указания как адреса отправителя, так и ip. В каком случае могут
> образовываться такие записи? Только если письма формируются
> напрямую с сервера? есть подозрение, что эта вползшая гадость
> пыталась спам рассылать.....
И явно небезуспешно.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Re: Взлом?
@ 2005-09-30 9:08 ` Michael Shigorin
2005-09-30 19:25 ` Re[2]: " Алексей Данилович
0 siblings, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2005-09-30 9:08 UTC (permalink / raw)
To: ALT Linux Community
On Fri, Sep 30, 2005 at 01:05:36PM +0400, Алексей Данилович wrote:
> > > Причиной проверки "по факту", выявившей данную ситуацию,
> > > явилась жалоба, на то, что не отправляется почта....
> > Хороший провайдер, вовремя отсёк доставку.
> ээээ. А при чем тут провайдер? Жалоба была от юзеров...
Подумайте над цепочкой -- зуб не дам, но думаю -- при чём.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- visit our conference (Oct 1):
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re[2]: [Comm] Re: Взлом?
2005-09-30 9:08 ` Michael Shigorin
@ 2005-09-30 19:25 ` Алексей Данилович
0 siblings, 0 replies; 6+ messages in thread
From: Алексей Данилович @ 2005-09-30 19:25 UTC (permalink / raw)
To: ALT Linux Community
-----Original Message-----
From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux Community <community@altlinux.ru>
Date: Fri, 30 Sep 2005 12:08:37 +0300
Subject: Re: [Comm] Re: Взлом?
>
> On Fri, Sep 30, 2005 at 01:05:36PM +0400, Алексей Данилович wrote:
> > > > Причиной проверки "по факту", выявившей данную ситуацию,
> > > > явилась жалоба, на то, что не отправляется почта....
> > > Хороший провайдер, вовремя отсёк доставку.
> > ээээ. А при чем тут провайдер? Жалоба была от юзеров...
>
> Подумайте над цепочкой -- зуб не дам, но думаю -- при чём.
>
Вы думаете - провайдер закрыл smtp порт, чтобы предотвратить рассылку?
если так, то нет, наш на это не способен... Судя по логам, постфикс
ругался на превышение частоты отправки и провайдер тут не причем.
Кроме того, параллельно, на нашу почту валилась какая-то
спамо-вирусная эпидемия прям. У меня clamav был настроен на
предупреждение о вирусе и получателя и отправителя, соотвественно, в
очереди было значительное число попыток отправить почту на не
существующие адреса. Я уже прикрыл это.
И еще, почта небольшого размера во время этого эпизода переодически
все-таки проскакивала.
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2005-09-30 19:25 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-09-28 12:26 [Comm] Взлом? Алексей Данилович
2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin
2005-09-28 19:17 ` Алексей Данилович
2005-09-29 9:17 ` Michael Shigorin
2005-09-30 9:08 ` Michael Shigorin
2005-09-30 19:25 ` Re[2]: " Алексей Данилович
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git