Заражение VPS-сервера и спам-рассылка

Заражение VPS-сервера и спам-рассылка
Если ваш VPS сервер рассылает спам, проверьте, нет ли в /var/tmp или /tmp каталоге бинарного файла со случайным именем, наподобие uYMBstEMZ. Данный файл прописан на автозапуск каждые 10 секунд в кроне пользователя admin (или root). Он запускает резидентный процесс на Perl (обычно с именем "bash"), который по SMTP рассылает спам. Резидентных процессов может быть несколько, их легко заметить в топе выдачи утилиты top.

Что интересно, бинарник - это в большей степени зашифрованный код Perl скрипта. Он выполняет /usr/bin/perl и через pipe передает ему раскодированный исходник.

После удаления файла, записи в cron и процессов не забудьте поменять все пароли от сервера, а на сайты установить защиту (бывает, что бэкдор, через которых выполняется заражение, находится на одном из сайтов сервера, в аккаунте admin).

Если проблема есть и ничего не понятно, всегда можно обратиться к нам в "Ревизиум" https://revisium.com/

78f80888d77f8eb58544a888f5dbee11.png
cron vps вирус спам
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

revisium

Блог компании "Ревизиум": лечение сайтов от вирусов и защита от взлома. Информационно-познавательные материалы из мира безопасности и защиты сайтов.