спамеры, вы зае&$#@ ! Как защитить серв ?

[durman]

80% моих серваков периодически рассылает спам!
в процессах видно что работает perl который запускает кучу потоков sendmail.
от имени root.
по логам к ssh никто кроме меня не конектился. пароли менял. ssh ключей нет. фтп тож нет.
кто сталкивался с этим ? что за хрень и как бороться ?

[dovgan]

так через sockstat посмотри где физически лежит скрипт

[Drunk Monk]

и выкладывай eго сюда

[durman]

за sockstat спасибо, в centos вроде нашёл аналог lsof . но я уже срубил эти процессы, так что что бы что то посмотреть придётся опять ждать

[Drg]

Уже как-то советовали, запретить исходящий 25 порт через iptables, найди на форуме это.
Ну и защищай сервер лучше, ищи где дыры. Обновляйся чаще
Ну и раз сам не можешь защитить свой сервак, то советую нанять профессионала, это будет дешевле, чем провайдеры отрубят тебе сервак.

[sspy]

iptables -A OUTPUT -p tcp --dport 25 -j DROP

[Drg]

Цитата:

Сообщение от durman

80% моих серваков периодически рассылает спам!
в процессах видно что работает perl который запускает кучу потоков sendmail.
от имени root.
по логам к ssh никто кроме меня не конектился. пароли менял. ssh ключей нет. фтп тож нет.
кто сталкивался с этим ? что за хрень и как бороться ?

Проверь сервер, на предмет руткитов, если есть руткиты, то ты ни в логах ничего не увидишь, ни в процессах)
yum install rkhunter
rkunter -c

[soul]

скрипт выкладывай

[XeonN]

Цитата:

Сообщение от Drg

Проверь сервер, на предмет руткитов, если есть руткиты, то ты ни в логах ничего не увидишь, ни в процессах)
yum install rkhunter
rkunter -c

Только для начала rkhunter --update

[super]

Цитата:

Сообщение от soul

скрипт выкладывай

+1, покажи скрипт