Поломали ВДСку - Форум успешных вебмастеров - GoFuckBiz.com
 
 
Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Поломали ВДСку
Дата
USD/RUB93.4409
BTC/USD63894.8917
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 19.01.2012, 08:41   #1
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,267
Бабло: $254000
По умолчанию Поломали ВДСку
Пару дней назад, если кто не в курсе, ломанули hostfolks. Всё бы ничего, если б не ушли руты от вдсок. Ну как минимум от одной моей=)

Теперь топ показывает крутящимися с пяток процессов sendmail, я имею утечку памяти мама не горюй - секунд через 5 после высвобождения она снова забивается под ноль.

Периодически проявляется процесс procmail, кушающий прилично процессора и памяти. Попытки его убить приводят к реинкарнации засранца (может, не то делаю?)

Закрыл 25 порт (если правильно загуглил)
iptables -t filter -A INPUT -p TCP --dport 25 -i eth0 -j DROP

Вроде, стало поспокойней, но это ж временное решение, мне и самому периодически почту слать надо

Кто что подскажет, кроме переезда к инферно

Да, саппорт, видимо, решает свои глобальные проблемы. Хорошо, платил палкой
xealey вне форума  
Старый 19.01.2012, 09:59   #2
Drg
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 4,096
Бабло: $611825
По умолчанию
по моему так надо:
iptables -t filter -A OUTPUT -p TCP --dport 25 -i eth0 -j DROP
Ос какая? Если центос/redhat, то
yum remove sendmail
потом обнови систему yum update
потом перегрузись
Запрети вход через рута в ssh) входи через пользователя
Drg вне форума  
Старый 19.01.2012, 10:46   #3
xanxy
Senior Member
 
Регистрация: 18.08.2010
Сообщений: 360
Бабло: $66120
По умолчанию
Скопипасти плиз инфу о взломе..
Ушли все руты или по какому то определенному ДЦ?
xanxy вне форума  
Старый 19.01.2012, 10:58   #4
xanxy
Senior Member
 
Регистрация: 18.08.2010
Сообщений: 360
Бабло: $66120
По умолчанию
По сабжу, попробуй зайти в hypervm, и сделать рекоррупт. Тем самамы восстановятся системные файлы из образа, твои данные останутся не тронутыми. И шел ищи
xanxy вне форума  
Старый 19.01.2012, 11:00   #5
Grut
Senior Member
 
Аватар для Grut
 
Регистрация: 23.04.2007
Сообщений: 2,118
Бабло: $337995
По умолчанию
Цитата:
Сообщение от xealey Посмотреть сообщение
Пару дней назад, если кто не в курсе, ломанули hostfolks. Всё бы ничего, если б не ушли руты от вдсок. Ну как минимум от одной моей=)
Вот так новость

У меня на вдс в hostfolks только squid крутится. Проверил htop - левых процессов нет. Но пароли пообновляю. Спасибо за инфу.
Grut вне форума  
Старый 19.01.2012, 11:06   #6
chesser
автоматизирую интернеты
 
Аватар для chesser
 
Регистрация: 05.07.2009
Адрес: chesser.ru
Сообщений: 3,362
Бабло: $470735
По умолчанию
надо было настраивать безопасность сервера, щас бы rkhunter показал руткиты
__________________
USA и NL серверы и VPS | wiki | блог | Drupal | NginxТДС
Ave, Google, morituri te salutant! © chesser
chesser вне форума  
Старый 19.01.2012, 12:00   #7
xealey
Senior Member
 
Аватар для xealey
 
Регистрация: 04.09.2007
Сообщений: 1,267
Бабло: $254000
ТС -->
автор темы ТС По умолчанию
инфы о взломе как таковой нет. вчера не работал ни сайт(дефейс), ни админка (просто висела). арендую у них 2 впс в штатах, на одной всё ок.

по ssh подключался нормально, но аномальная активность - забиты были процентов на 95 прос и оперативка. винт сегодня пал жертвой mail spool (насобиралось 199 гигов )
саппорт сегодня отморозился, все почистили в течение 10 минут, уверили, что вдс и доступы не пострадали (ага-ага).

Drg, благодарю, сделал вход только по ключу, думаю, поможет
xealey вне форума  
Обратная связь - Архив - Вверх - RSS - Карта сайта

© GoFuckBiz.com