URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 55996
[ Назад ]

Исходное сообщение
"Спасите от спамеров на вирт. хостинге"
Отправлено visitor , 27-Апр-05 22:27

Здравствуйте, Уважаемые.
Как всегда на вас вся надежда.
Есть хостинговый сервер (apache-1.3.33) с кучей вхостов. На нем крутиться почтовик (qmail). Проблема состоит в том что какая та скотина постоянно ложит тектовые файлы в /tmp в которых огромное кол-во почтовых адресов и запускает скрипт (увидел в топе, называется r0nin) для рассылки спама за счет использования этих файлов. В почтовике образуется охеренная очередь и тем самым парализуется его работа.
Поиск грепом по всем файлам вхостов и логам вхостов по имени скрипта или по именам текстовым файлам те что в /tmp ничего не дал. Непонятно почему.
Посоветуйте что делать? За-chroot-ить апач? Могу ли я назначить права 755 на /tmp вместо 777? Не повлияет ли это на работу всей системы?
Я уже Задолбался с этим бороться? Какой выход?
Заранее спасибо.

Содержание

Спасите от спамеров на вирт. хостинге,Асен Тотин, 01:48 , 28-Апр-05
- Спасите от спамеров на вирт. хостинге,visitor, 09:48 , 28-Апр-05
Спасите от спамеров на вирт. хостинге,lithium, 09:53 , 28-Апр-05

Сообщения в этом обсуждении

"Спасите от спамеров на вирт. хостинге"
Отправлено Асен Тотин , 28-Апр-05 01:48

Привет,
>Проблема состоит в том что какая та скотина постоянно ложит тектовые
>файлы в /tmp
А как это происходит? Неуж-то через PHP upload? Тогда обязательно введите ваш PHP в safe mode и разрешите upload каждому VHost-у в свою директорию... по крайней мере, легко найдете кто виноват.
> в которых огромное кол-во почтовых адресов и запускает
>скрипт (увидел в топе, называется r0nin)
r0nin - это hack или вирус, как вам больше по душе; постарайтесь выяснить как он проник к вам (напр., grep в логах Apache); кто его запускает и откуда (смотрите в /proc/<pid>/...)
>Могу ли я назначить права 755 на
>/tmp вместо 777?
Нет, я бы не стал этого делать.
WWell,

"Спасите от спамеров на вирт. хостинге"
Отправлено visitor , 28-Апр-05 09:48

>и разрешите upload каждому VHost-у в свою
>директорию... по крайней мере, легко найдете кто виноват.
>
опишите пожалуйста подробней как это сделать
>> в которых огромное кол-во почтовых адресов и запускает
>>скрипт (увидел в топе, называется r0nin)
>
>r0nin - это hack или вирус, как вам больше по душе; постарайтесь выяснить как он проник к вам (напр., grep в логах Apache);
делал grep и по логам апача и по логам всех вхостов - ничего не нашел.
делал рекурсивный поиск по всем директориям вхостов - тоже в пустую :(
сам не понимаю почему нет результата...
>кто его запускает и откуда (смотрите в /proc/<pid>/...)
>
OS FreeBSD 5.3-RELEASE
>>Могу ли я назначить права 755 на
>>/tmp вместо 777?
>
>Нет, я бы не стал этого делать.
>
>WWell,
спасибо за советы

"Спасите от спамеров на вирт. хостинге"
Отправлено lithium , 28-Апр-05 09:53

Мне больше кажется, что тебя вломали. Дай антивирусу права root и пройдись им по всей ФС. Еще вариант остановить сервер на время, примонтировать диски на время к другой машине (заведомо чистой) и проверить с неё. Если стоит RH-based linux, то rpm -Va.
Юзеры должны заходить каждый под своим uid, тогда по владельцу файла можно вычислить злодея.