форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"огромный исходящий трафик на debian"

Сообщение от vovansystems (ok) on 03-Мрт-09, 20:24

сервак начал жрать трафик немерено. во время этих приступов почти не пингуется и ссш не коннектится проверил clamscan /home/backup/03-03-09/custom/var/spool/virtual.tar.gz: Spoofer.Midav FOUND /home/backup/03-03-09/custom/var/spool/virtual.tar.gz: moved to '/home/infected///virtual.tar.gz' /home/infected/virtual.tar.gz: Spoofer.Midav FOUND File excluded '/home/infected/virtual.tar.gz' /var/spool/virtual/.fl/v: Spoofer.Midav FOUND /var/spool/virtual/.fl/v: moved to '/home/infected///v' /var/tmp/mcroot.txt: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt: moved to '/home/infected///mcroot.txt' /var/tmp/mcroot.txt.3: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt.3: moved to '/home/infected///mcroot.txt.3' /var/tmp/mcroot.txt.2: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt.2: moved to '/home/infected///mcroot.txt.2' /var/tmp/bb.tar: Spoofer.Midav FOUND /var/tmp/bb.tar: moved to '/home/infected///bb.tar' /var/tmp/mcroot.txt.4: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt.4: moved to '/home/infected///mcroot.txt.4' /var/tmp/.../v: Spoofer.Midav FOUND /var/tmp/.../v: moved to '/home/infected///v.000' /var/tmp/.../bb/v: Spoofer.Midav FOUND /var/tmp/.../bb/v: moved to '/home/infected///v.001' /var/tmp/bb.tar.1: Spoofer.Midav FOUND /var/tmp/bb.tar.1: moved to '/home/infected///bb.tar.1' /var/tmp/mcroot.txt.1: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt.1: moved to '/home/infected///mcroot.txt.1' /var/tmp/mcroot.txt.5: Trojan.Perl.Shellbot FOUND /var/tmp/mcroot.txt.5: moved to '/home/infected///mcroot.txt.5' поставил clamav-daemon но через некоторое время опять началось. пытался через iftop -BP узнать что это но ссш отключло перед тем как он показал кто и куда ломанулся.. что делать.. сам чайник в никсах, а потом по-возможности подробно

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "огромный исходящий трафик на debian"

Сообщение от vovansystems (ok) on 03-Мрт-09, 21:16

кажется нашол где он. папку переименовал, убрал атрибуты на исполнение. вопрос: как он туда залез и почему юзер апач? Apache 2.2.10, directadmin.. YME001:/var/spool/virtual/.fl# ls -ls total 696   4 -rwxr-xr-x 1 apache apache     74 2009-03-03 21:00 1   4 -rwxr-xr-x 1 apache apache    319 2009-02-22 04:07 autorun 12 -rwxr-xr-x 1 apache apache   8922 2006-01-24 08:18 b 20 -rwxr-xr-x 1 apache apache  19557 2005-05-10 07:50 b2 268 -rwxr-xr-x 1 apache apache 266463 2005-05-10 07:50 bang.txt   4 -rw-r--r-- 1 apache apache     56 2009-03-02 21:41 cron.d 12 -rwxr-xr-x 1 apache apache   8687 2006-01-24 09:12 f 16 -rwxr-xr-x 1 apache apache  14679 2005-11-03 08:28 f4   4 -rw-r--r-- 1 apache apache     23 2009-03-02 21:41 fl.dir 16 -rw-r--r-- 1 apache apache  13022 2009-03-03 10:55 FlooD.seen   4 -rw-r--r-- 1 apache apache   1915 2009-03-03 21:00 FLooD.seen   4 -rwxr-xr-x 1 apache apache     81 2006-08-17 06:40 fwd 156 -rwxr-xr-x 1 apache apache 152108 2001-06-01 14:15 httpd 12 -rwxr-xr-x 1 apache apache  10848 2005-05-29 23:17 j 16 -rwxr-xr-x 1 apache apache  13850 2005-05-29 23:23 j2 24 -rwxr-xr-x 1 apache apache  22983 2004-07-30 01:37 mech.help   4 -rwxr-xr-x 1 apache apache   1064 2009-03-03 21:00 mech.levels   4 -rwx--x--x 1 apache apache      5 2009-03-03 20:48 mech.pid   4 -rw-r--r-- 1 apache apache    199 2009-03-03 21:00 mech.session   4 -rwxr-xr-x 1 apache apache    448 2009-02-24 03:17 mech.set   4 -rwxr-xr-x 1 apache apache     67 2009-02-22 04:05 run 16 -rwxr-xr-x 1 apache apache  15078 2005-02-20 19:51 s 20 -rwxr-xr-x 1 apache apache  16776 2002-09-19 08:59 sl   4 -rwxr-xr-x 1 apache apache     16 2009-02-22 04:06 start 16 -rwxr-xr-x 1 apache apache  15195 2004-09-02 21:34 std 12 -rwxr-xr-x 1 apache apache   8790 2006-01-24 08:39 stream   8 -rwxr-xr-x 1 apache apache   7091 2006-01-24 08:25 tty   4 -rwxr--r-- 1 apache apache    202 2009-03-02 21:41 update 16 -rwxr-xr-x 1 apache apache  14841 2005-07-22 18:42 v2   4 -rwxr-xr-x 1 apache apache    915 2005-03-02 08:59 x

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "огромный исходящий трафик на debian"
	Сообщение от angra (ok) on 04-Мрт-09, 03:48
	Потому что у вас дыра в вебе, причем с 90% вероятностью в пыховых скриптах. На вопрос как закрыть ответ простой: либо сами учитесь нормально программировать и администрировать либо нанимайте специалиста, последнее зачастую в конечном счете дешевле.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "огромный исходящий трафик на debian"
	Сообщение от anon on 04-Мрт-09, 06:38
	решение тут http://forum.ru-board.com/topic.cgi?forum=65&topic=3246#8
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]