Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB58.7570
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 19.01.2012, 08:41   #1
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,271
Бабло: $253980
По умолчанию Поломали ВДСку

Пару дней назад, если кто не в курсе, ломанули hostfolks. Всё бы ничего, если б не ушли руты от вдсок. Ну как минимум от одной моей=)

Теперь топ показывает крутящимися с пяток процессов sendmail, я имею утечку памяти мама не горюй - секунд через 5 после высвобождения она снова забивается под ноль.

Периодически проявляется процесс procmail, кушающий прилично процессора и памяти. Попытки его убить приводят к реинкарнации засранца (может, не то делаю?)

Закрыл 25 порт (если правильно загуглил)
iptables -t filter -A INPUT -p TCP --dport 25 -i eth0 -j DROP

Вроде, стало поспокойней, но это ж временное решение, мне и самому периодически почту слать надо

Кто что подскажет, кроме переезда к инферно

Да, саппорт, видимо, решает свои глобальные проблемы. Хорошо, платил палкой
xealey вне форума  
Старый 19.01.2012, 09:59   #2
Drg
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 4,100
Бабло: $611505
По умолчанию

по моему так надо:
iptables -t filter -A OUTPUT -p TCP --dport 25 -i eth0 -j DROP
Ос какая? Если центос/redhat, то
yum remove sendmail
потом обнови систему yum update
потом перегрузись
Запрети вход через рута в ssh) входи через пользователя
Drg вне форума  
Старый 19.01.2012, 10:46   #3
xanxy
Senior Member
 
Регистрация: 18.08.2010
Сообщений: 361
Бабло: $66100
По умолчанию

Скопипасти плиз инфу о взломе..
Ушли все руты или по какому то определенному ДЦ?
xanxy вне форума  
Старый 19.01.2012, 10:58   #4
xanxy
Senior Member
 
Регистрация: 18.08.2010
Сообщений: 361
Бабло: $66100
По умолчанию

По сабжу, попробуй зайти в hypervm, и сделать рекоррупт. Тем самамы восстановятся системные файлы из образа, твои данные останутся не тронутыми. И шел ищи
xanxy вне форума  
Старый 19.01.2012, 11:00   #5
Grut
Senior Member
 
Аватар для Grut
 
Регистрация: 23.04.2007
Сообщений: 2,053
Бабло: $321475
Отправить сообщение для Grut с помощью Skype™
По умолчанию

Цитата:
Сообщение от xealey Посмотреть сообщение
Пару дней назад, если кто не в курсе, ломанули hostfolks. Всё бы ничего, если б не ушли руты от вдсок. Ну как минимум от одной моей=)
Вот так новость

У меня на вдс в hostfolks только squid крутится. Проверил htop - левых процессов нет. Но пароли пообновляю. Спасибо за инфу.
__________________
SGManaged - хостинг для успешного вебмастера! | Партнерская программа под студенческий трафик.
Grut вне форума  
Старый 19.01.2012, 11:06   #6
chesser
автоматизирую интернеты
 
Аватар для chesser
 
Регистрация: 05.07.2009
Адрес: chesser.ru
Сообщений: 3,382
Бабло: $470735
По умолчанию

надо было настраивать безопасность сервера, щас бы rkhunter показал руткиты
__________________
USA и NL серверы и VPS | wiki | блог | Drupal | NginxТДС
Ave, Google, morituri te salutant! © chesser
chesser вне форума  
Старый 19.01.2012, 12:00   #7
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,271
Бабло: $253980
ТС -->
автор темы ТС По умолчанию

инфы о взломе как таковой нет. вчера не работал ни сайт(дефейс), ни админка (просто висела). арендую у них 2 впс в штатах, на одной всё ок.

по ssh подключался нормально, но аномальная активность - забиты были процентов на 95 прос и оперативка. винт сегодня пал жертвой mail spool (насобиралось 199 гигов )
саппорт сегодня отморозился, все почистили в течение 10 минут, уверили, что вдс и доступы не пострадали (ага-ага).

Drg, благодарю, сделал вход только по ключу, думаю, поможет
xealey вне форума