спамеры, вы зае&$#@ ! Как защитить серв ?

[durman]

80% моих серваков периодически рассылает спам!
в процессах видно что работает perl который запускает кучу потоков sendmail.
от имени root.
по логам к ssh никто кроме меня не конектился. пароли менял. ssh ключей нет. фтп тож нет.
кто сталкивался с этим ? что за хрень и как бороться ?

[pingo]

зачем вам этот скрипт?

[inferno[DGT]]

Не показывай скрипт, а то увеличишь кол-во спамеров мля )

[Aston Martim]

Обычно там в скрипте ничего интересного.
Недавно с одного сервака тоже снял такой же, пролез через недавнюю дырку в exim.

[durman]

Aston Martim, а где он лежал ? я не могу найти .
поставил себе rkhunter, но он особо ничего не нашёл.

[Aston Martim]

в tmp
Ищи там, где есть права на запись для всех.

[Drg]

durman, Значит у тебя сайты дырявые, раз руткитхантер ничего не нашел.
а скрипты правильно говорит Aston Martim, ищи в /tmp

[Aston Martim]

А лучше отдай нормальному админу серваки на проверку, зачистку и установку апдейтов. Могу в личке порекомендовать человека.

[durman]

в тмп нету. сайты возможно и дырявые но от рута бы не запустили скрипт. про админа, конечно надо подумать. но я топик завёл т.к. подумал что проблема известная. у меня серваки в разных дц от разных селлеров. и все страдают этой проблемой.

[Aston Martim]

Че то я просмотрел, что они у тебя от рута.
Имхо, тут лучше переставить систему, потому как иначе ты никак не сможешь убедиться в полной чистоте системы.
И чтобы серв сетапил и настраивал нормальный админ. Потому что походу у тебя какая-то общая проблема в настройке раз все сразу серваки протроянили.

[Drg]

durman, с чего ты взял, что от рута не запустили бы скрипт?
раз у тебя на нескольких серваках такая проблема, значит ломают тебя точно через дыры в сайтах, ну а потом уж через шелы получают рута.
Если у тебя дырявые сайты, то тебе может и админы не помогут, т.к. админ грамотно защитит сервер, а хакеры все равно пролезут через дырявые сайты.