forum.opennet.ru - "Вирус в CentOS" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Вирус в CentOS"

Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Вирус в CentOS"	+/–
Сообщение от Алескандр on 12-Май-16, 17:48
Добрый день, помогите решить проблему. Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае. Что и где еще можно посмотреть ? Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.
Ответить \| Правка \| Cообщить модератору

Оглавление

Вирус в CentOS, Алескандр, 17:50 , 12-Май-16, (1)
Вирус в CentOS, Виктор, 23:14 , 12-Май-16, (2)
Вирус в CentOS, Виктор, 23:17 , 12-Май-16, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Вирус в CentOS" +/–

Сообщение от Алескандр on 12-Май-16, 17:50

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
походу CLAM делает свое дело, понаходил вирусняков, трафик попустило!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вирус в CentOS" +/–

Сообщение от Виктор (??) on 12-Май-16, 23:14

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Вирус в CentOS" +/–

Сообщение от Виктор (??) on 12-Май-16, 23:17

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вирус в CentOS"	+/–
Сообщение от Алескандр on 12-Май-16, 17:50
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю. походу CLAM делает свое дело, понаходил вирусняков, трафик попустило!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Вирус в CentOS"	+/–
Сообщение от Виктор (??) on 12-Май-16, 23:14
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю. Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры. yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Вирус в CentOS"	+/–
Сообщение от Виктор (??) on 12-Май-16, 23:17
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю. Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору