7 Сентября, 2017

Заражение VPS-сервера и спам-рассылка

revisium
Если ваш VPS сервер рассылает спам, проверьте, нет ли в /var/tmp или /tmp каталоге бинарного файла со случайным именем, наподобие uYMBstEMZ. Данный файл прописан на автозапуск каждые 10 секунд в кроне пользователя admin (или root). Он запускает резидентный процесс на Perl (обычно с именем "bash"), который по SMTP рассылает спам. Резидентных процессов может быть несколько, их легко заметить в топе выдачи утилиты top.

Что интересно, бинарник - это в большей степени зашифрованный код Perl скрипта. Он выполняет /usr/bin/perl и через pipe передает ему раскодированный исходник.

После удаления файла, записи в cron и процессов не забудьте поменять все пароли от сервера, а на сайты установить защиту (бывает, что бэкдор, через которых выполняется заражение, находится на одном из сайтов сервера, в аккаунте admin).

Если проблема есть и ничего не понятно, всегда можно обратиться к нам в "Ревизиум" https://revisium.com/

78f80888d77f8eb58544a888f5dbee11.png
comments powered by Disqus