* [Comm] Взлом? @ 2005-09-28 12:26 Алексей Данилович 2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin 0 siblings, 1 reply; 6+ messages in thread From: Алексей Данилович @ 2005-09-28 12:26 UTC (permalink / raw) To: community Доброго времени суток. Возникла следующая проблема. netstat -ap стал выдавать звязь с компом в инете на странные порты вроде afs-server.... Просмотр программы по пиду, показал, что от имени апача запущен bash. Возможна ли такая ситуация или это скорее всего сломали апач? И кто такой afs-server вообще? после убийства этого процесса коннекты пропали.... Спасибо. ^ permalink raw reply [flat|nested] 6+ messages in thread
* [Comm] Re: Взлом? 2005-09-28 12:26 [Comm] Взлом? Алексей Данилович @ 2005-09-28 13:48 ` Michael Shigorin 2005-09-28 19:17 ` Алексей Данилович 0 siblings, 1 reply; 6+ messages in thread From: Michael Shigorin @ 2005-09-28 13:48 UTC (permalink / raw) To: community On Wed, Sep 28, 2005 at 04:26:37PM +0400, Алексей Данилович wrote: > Возникла следующая проблема. > netstat -ap > стал выдавать звязь с компом в инете на странные порты вроде > afs-server.... Просмотр программы по пиду, показал, что от > имени апача запущен bash. Возможна ли такая ситуация или это > скорее всего сломали апач? И кто такой afs-server вообще? Если апач текущий -- скорее пробили какую-то дрянь, которая на нём крутилась. phpbb2 там или awstats. > после убийства этого процесса коннекты пропали.... Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/). -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ---- visit our conference (Oct 1): -- http://conference.osdn.org.ua ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Re: Взлом? 2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin @ 2005-09-28 19:17 ` Алексей Данилович 2005-09-29 9:17 ` Michael Shigorin 0 siblings, 1 reply; 6+ messages in thread From: Алексей Данилович @ 2005-09-28 19:17 UTC (permalink / raw) To: shigorin, ALT Linux Community Michael Shigorin пишет: >>после убийства этого процесса коннекты пропали.... > > > Помогает убивать SIGSTOP'ом, потом сходить в /proc/$PID > и посмотреть cmdline, cwd, exe, а также открытые файлы (fd/). > Хм... спасибо, попробую. Я как раз думал, как бы взглянуть на то, что именно запустилось. В продолжении темы. Причиной проверки "по факту", выявившей данную ситуацию, явилась жалоба, на то, что не отправляется почта.... Обнаружилось крайнее засорение почтовой очереди. По логам лезло огромное число записей типа from=<> .... и т.д. то есть без указания как адреса отправителя, так и ip. В каком случае могут образовываться такие записи? Только если письма формируются напрямую с сервера? есть подозрение, что эта вползшая гадость пыталась спам рассылать..... -- WBR, Alexey Danilovich ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] Re: Взлом? 2005-09-28 19:17 ` Алексей Данилович @ 2005-09-29 9:17 ` Michael Shigorin 0 siblings, 1 reply; 6+ messages in thread From: Michael Shigorin @ 2005-09-29 9:17 UTC (permalink / raw) To: ALT Linux Community On Wed, Sep 28, 2005 at 11:17:00PM +0400, Алексей Данилович wrote: > Причиной проверки "по факту", выявившей данную ситуацию, > явилась жалоба, на то, что не отправляется почта.... Хороший провайдер, вовремя отсёк доставку. > Обнаружилось крайнее засорение почтовой очереди. По логам лезло > огромное число записей типа from=<> .... и т.д. то есть без > указания как адреса отправителя, так и ip. В каком случае могут > образовываться такие записи? Только если письма формируются > напрямую с сервера? есть подозрение, что эта вползшая гадость > пыталась спам рассылать..... И явно небезуспешно. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ---- visit our conference (Oct 1): -- http://conference.osdn.org.ua ^ permalink raw reply [flat|nested] 6+ messages in thread
[parent not found: <94a6689a0509300205k6f5bdb85g@mail.gmail.com>]
* Re: [Comm] Re: Взлом? @ 2005-09-30 9:08 ` Michael Shigorin 2005-09-30 19:25 ` Re[2]: " Алексей Данилович 0 siblings, 1 reply; 6+ messages in thread From: Michael Shigorin @ 2005-09-30 9:08 UTC (permalink / raw) To: ALT Linux Community On Fri, Sep 30, 2005 at 01:05:36PM +0400, Алексей Данилович wrote: > > > Причиной проверки "по факту", выявившей данную ситуацию, > > > явилась жалоба, на то, что не отправляется почта.... > > Хороший провайдер, вовремя отсёк доставку. > ээээ. А при чем тут провайдер? Жалоба была от юзеров... Подумайте над цепочкой -- зуб не дам, но думаю -- при чём. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ---- visit our conference (Oct 1): -- http://conference.osdn.org.ua ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re[2]: [Comm] Re: Взлом? 2005-09-30 9:08 ` Michael Shigorin @ 2005-09-30 19:25 ` Алексей Данилович 0 siblings, 0 replies; 6+ messages in thread From: Алексей Данилович @ 2005-09-30 19:25 UTC (permalink / raw) To: ALT Linux Community -----Original Message----- From: Michael Shigorin <mike@osdn.org.ua> To: ALT Linux Community <community@altlinux.ru> Date: Fri, 30 Sep 2005 12:08:37 +0300 Subject: Re: [Comm] Re: Взлом? > > On Fri, Sep 30, 2005 at 01:05:36PM +0400, Алексей Данилович wrote: > > > > Причиной проверки "по факту", выявившей данную ситуацию, > > > > явилась жалоба, на то, что не отправляется почта.... > > > Хороший провайдер, вовремя отсёк доставку. > > ээээ. А при чем тут провайдер? Жалоба была от юзеров... > > Подумайте над цепочкой -- зуб не дам, но думаю -- при чём. > Вы думаете - провайдер закрыл smtp порт, чтобы предотвратить рассылку? если так, то нет, наш на это не способен... Судя по логам, постфикс ругался на превышение частоты отправки и провайдер тут не причем. Кроме того, параллельно, на нашу почту валилась какая-то спамо-вирусная эпидемия прям. У меня clamav был настроен на предупреждение о вирусе и получателя и отправителя, соотвественно, в очереди было значительное число попыток отправить почту на не существующие адреса. Я уже прикрыл это. И еще, почта небольшого размера во время этого эпизода переодически все-таки проскакивала. ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2005-09-30 19:25 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-09-28 12:26 [Comm] Взлом? Алексей Данилович 2005-09-28 13:48 ` [Comm] Взлом? Michael Shigorin 2005-09-28 19:17 ` Алексей Данилович 2005-09-29 9:17 ` Michael Shigorin 2005-09-30 9:08 ` Michael Shigorin 2005-09-30 19:25 ` Re[2]: " Алексей Данилович
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git