Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Читеры и Разгильдяи
»
Тема:
Новый троян
Новая тема
Ответить
цитата
12/06/09 в 07:39
alex.raven
В общем, не знаю даже, в какой раздел это запостить (т.к на этом форуме нет раздела Информационная безопасность). Несколько дней назад у нас случился инцидент.
Мы заметили резкое увеличение почтового трафика (если раньше отправлялось в день в среднем, 150000 писем, то количество возросло до более чем 1500000, т.е в 10 раз). В списке top процессов первую строчку занимал perl5.8.8, с 99% ресурсов процессора.
Попросил саппорт хостера провести аудит нашего сервера. И они выкопали троян atrix, который написан на perl. Рассылает спам в немеряных количествах. В нашем случае он подключался по irc к какому-то серверу на theplanet.com по порту 33888 и слушал команды. Естественно, троян мы удалили. Это была модифицированная версия трояна atrix.
Хостер выяснил, что троян был установлен через дыру в устаревшем RoundCube (веб-почта с открытыми исходниками), который мы ставили года 2 назад для модераторов. Потом надобность в нем отпала, а дыра осталась.
В общем, все, кто использует RoundCube - срочно обновляйтесь.
Последний раз редактировалось: alex.raven (
12/06/09 в 10:19
), всего редактировалось 1 раз
цитата
12/06/09 в 10:12
Ziegfrid
Баян.
цитата
12/06/09 в 10:47
Kass
Админу в торец за непропатченый софт.
Не расслабляйтесь, время такое
Мы сервак купили, настроили, потащили его в коло ставить, админ поставил пасс 6 одинаковых букв на рута.
Принесли в ДЦ подключили, сервак поднялся, пока ехали до конторы (40 минут) кто то успел отсканить, забрутфорсить пасс, установить кучу поебни и сменить рут пасс
Приехали в контору пофтыкали, поехали обратно в ДЦ забирать сервак, реинсталить ось.
А ты говоришь скрипт дырявый 2х летний давности...
цитата
12/06/09 в 21:45
kassander
Оффтопик:
А создатель lxadmin вообще повесился после найденной дыры и инцинтента с удалением кучи сайтов
цитата
15/06/09 в 19:30
alex.raven
Случилось то, чего и опасались больше всего. Наш айпи убрали из вайт-листа Senderscore. Это означает, что до 30% наших почтовых рассылок будут отправлены в папку Спам на крупнейших почтовых провайдерах: hotmail.com, yahoo.com, gmail.com, etc.
Код:
From: *@senderscorecertified.com
Subject: [Disabled] *****
To: *****
Date: Monday, June 15, 2009, 10:15 AM
This notice is to inform you of action taken regarding your IP address(es) in the Sender Score Certified Program.
The following IP(s) have been disabled in the Sender Score Certified whitelist.
IP: *.*.*.*: WLSRD
Information about, and general recommendations for investigating and resolving a performance issue is located at:
http://www.senderscorecertified.com/about/suspension.php
http://www.senderscorecertified.com/about/
Information on the Email Sender Standards and Quantitative Requirements is available at the following locations:
http://www.senderscorecertified.com/about/
standards.php
http://www.senderscorecertified.com/about/
quan_req.php
If you have any questions regarding this notice, please contact your Return Path Account Director or
customercare@senderscorecertified.com
.
Sincerely,
Sender Score Certified Compliance
*@senderscorecertified.com
Return Path, Inc
цитата
15/06/09 в 20:04
_4eburek
alex.raven писал:
Несколько дней назад у нас случился инцидент.
Мы заметили резкое увеличение почтового трафика (если раньше отправлялось в день в среднем, 150000 писем, то количество возросло до более чем 1500000, т.е в 10 раз). В списке top процессов первую строчку занимал perl5.8.8, с 99% ресурсов процессора.
Попросил саппорт хостера провести аудит нашего сервера.
Вопрос небольшой : А 150к писем до этого отсылаемые с вашего сервера - это что за хуйня?
цитата
15/06/09 в 20:20
alex.raven
_4eburek писал:
Вопрос небольшой : А 150к писем до этого отсылаемые с вашего сервера - это что за хуйня?
У нас адалт дейтинг. Большинство исходящей почты - это уведомления типа "вы получили письмо от такого-то юзера, кликните здесь чтобы прочитать".
Новая тема
Ответить
Эта страница в полной версии