The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"вскрыли Apache, запустили /tmp/.a - что делать"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от Philip emailИскать по авторуВ закладки on 22-Июл-02, 21:46  (MSK)
Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате запустили программу от имени nobody (хозяин apache), которая называется .a и лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких серверов одновременно!)

Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос, как прекратить запросы к нему - за входящий трафик денежка платится...

Филипп

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от amber46 emailИскать по авторуВ закладки on 23-Июл-02, 02:53  (MSK)
>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате
>запустили программу от имени nobody (хозяин apache), которая называется .a и
>лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик
>к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких
>серверов одновременно!)
>
>Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос,
>как прекратить запросы к нему - за входящий трафик денежка платится...
>
>
>Филипп


проапдейтиться до весрии 1.3.26

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от Mikka Искать по авторуВ закладки on 24-Июл-02, 09:50  (MSK)
Прекратить - ставим фильтр на border gw на 2001 порт. Тогда все будет кончатся на нем, останутся только TCP-SYN запросы до этого gw
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от Romanius emailИскать по авторуВ закладки on 28-Ноя-02, 16:57  (MSK)
>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате
>запустили программу от имени nobody (хозяин apache), которая называется .a и
>лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик
>к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких
>серверов одновременно!)
>
>Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос,
>как прекратить запросы к нему - за входящий трафик денежка платится...
>
>
>Филипп

Хм. Знакомая ситуация. Хотя неактуально но все же.
1. Значит подобная эпидемия бродит по миру и по сей день.
Собственно поток на 2001 (wizard) порт сыпется издалека и из многих мест (в моем случае было задействовано около 30000 узлов). Решение простое, связаться с апстрим-провайдером что-бы перекрыли еще на подходе к тебе этот поток.
2. По поводу дыр в апаче, отдельный разговор. Собственно подобный баг был выловлен давно и о нем писали в баг-репортах самого апача. Собственно надо апдейтить и еще пару телодвижений сделать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру