hack serveru (spam zombie?)

Ivo Hazmuk ivo at vutbr.cz
Wed May 27 10:15:36 CEST 2009

Previous message: hack serveru (spam zombie?)
Next message: hack serveru (spam zombie?)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,

Cizek.Milan wrote:

> děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi.
> 
> smtp01# pstree | grep perl
>  |           \--- 31238 root grep perl
>  |--= 31085 www ./yxqs.pl (perl5.8.9)
> 
> www      perl5.8.8  90482 38 tcp4   89.31.40.x:54027      72.14.247.27:25
> www      perl5.8.8  90482 41 tcp4   89.31.40.x:54041      195.4.92.212:25
> www      perl5.8.8  90482 42 tcp4   89.31.40.x:54056      65.54.245.72:25
> www      perl5.8.8  90482 43 tcp4   89.31.40.x:53324      24.71.223.11:25
> www      perl5.8.8  90482 44 tcp4   89.31.40.x:53890      66.196.97.250:25
> www      perl5.8.8  90482 45 tcp4   89.31.40.x:53820      66.196.97.250:25
> www      perl5.8.8  90482 46 tcp4   89.31.40.x:53428      66.196.97.250:25
> www      perl5.8.8  90482 48 tcp4   89.31.40.x:54029      24.71.223.11:25
> ...

níže uvedené pravidlo IPFW sice neřeší příčinu, ale může ti to pomoci 
zmírnit aspoň následky:

ipfw add deny log logamount 0 tcp from me to any 25 setup uid www

	I.

Previous message: hack serveru (spam zombie?)
Next message: hack serveru (spam zombie?)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list