O servidor está enviando spam a cada 5 minutos - não consegue encontrar tarefas / cron causando isso [duplicado]

1

Um servidor linux que eu gerencio está enviando centenas de mensagens de spam de uma conta de usuário específica a cada 5 minutos.

Encontrei, dentro da conta do usuário (que executa o Wordpress), alguns scripts de exploração PHP. Um deles foi o conta-gotas Meyhem.

No entanto, não consigo encontrar sinais no sistema de que os droppers tenham comprometido o sistema. Os arquivos que eles referenciam não existem, não há processos de "host" em execução, nada no crontab, nenhuma escuta incomum ou conexões na porta 80, etc. Eu passei por todos os processos em execução e não vi nada incomum (pode ter perdido alguma coisa).

No entanto, o único sinal de um problema é que o sistema envia uma tonelada de mensagens a cada cinco minutos, usando o mesmo nome de usuário "de". (o nome de usuário do usuário comprometido mencionado acima).

Eu posso monitorar / var / log / maillog e a cada 5 minutos essas mensagens caem na fila.

Eu não consigo descobrir como dizer qual processo está fazendo isso. Eu parei o httpd, o crond, o atd e desabilitei o site do cliente para que nada estivesse atingindo os arquivos PHP maliciosos. Eu também renomeiei os arquivos PHP. Ainda assim, a cada 5 minutos, o arquivo de log mostra outro carregamento de mensagens desse usuário que está sendo enviado.

Alguém por favor pode me apontar na direção certa para encontrar este exploit / malware / etc?

Se houver uma maneira de assistir a todos os processos recém-gerados, posso ver qual deles aparece no momento em que o spam é excluído. Alguma idéia?

Trecho de maillog:

Jan 28 18:12:13 xyz postfix/qmgr[6829]: C4BF3206075: from=<username@xyz.[domain name here].net>, size=1199, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C0421227061: from=<username@xyz.[domain name here].net>, size=1222, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C05082060C7: from=<username@xyz.[domain name here].net>, size=1180, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BA6D922629A: from=<username@xyz.[domain name here].net>, size=1232, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC58A226B0F: from=<username@xyz.[domain name here].net>, size=1224, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BB1C6227574: from=<username@xyz.[domain name here].net>, size=1216, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: B896B226EB3: from=<username@xyz.[domain name here].net>, size=1194, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC7532266B8: from=<username@xyz.[domain name here].net>, size=1186, nrcpt=1 (queue active)
    
por Ryan Griggs 28.01.2015 / 23:34

3 respostas

3

No php.ini, localize mail.log. Ativar o registro de e-mails do PHP.

mail.log = /var/log/phpmaillog

Também ative cabeçalhos de x-mail

mail.add_x_header = 1

Reinicialize o httpd para ativar as alterações do PHP.

Em vez de começar a monitorar este log.

tail -f /var/log/phpmaillog

Exclua esses arquivos PHP. Instale o plugin iThemes Wordpress.

    
por 28.01.2015 / 23:54
1

Se você também tiver uma exploração de rootkit, não poderá ver os processos, conexões de rede etc. da máquina comprometida. Isso ocorre porque os executáveis que você usa foram comprometidos e ajustados para não mostrar as outras ferramentas e serviços comprometidos.

Nesse tipo de situação, você deve, no mínimo, inicializar a partir de um SO separado e verificável (algo como SystemRescueCD seria meu ponto de partida). Então você pode verificar todos os executáveis contra checksums de instalação e reinstalar qualquer coisa duvidosa. O ideal seria você derrubar o sistema e reinstalar.

Tenho certeza de que há muitos artigos úteis sobre a recuperação de rootkits no link

    
por 29.01.2015 / 00:14
0

Talvez o TCPdump possa lhe dar uma ideia. Veja o cartão NIC enviando tráfego para esse alvo, por exemplo

tcpdump -i eth0 -p smtp -Z root (ou adicione o IP, em vez de SMTP)

    
por 29.01.2015 / 03:32

Tags