Новый троян

В общем, не знаю даже, в какой раздел это запостить (т.к на этом форуме нет раздела Информационная безопасность). Несколько дней назад у нас случился инцидент.

Мы заметили резкое увеличение почтового трафика (если раньше отправлялось в день в среднем, 150000 писем, то количество возросло до более чем 1500000, т.е в 10 раз). В списке top процессов первую строчку занимал perl5.8.8, с 99% ресурсов процессора.

Попросил саппорт хостера провести аудит нашего сервера. И они выкопали троян atrix, который написан на perl. Рассылает спам в немеряных количествах. В нашем случае он подключался по irc к какому-то серверу на theplanet.com по порту 33888 и слушал команды. Естественно, троян мы удалили. Это была модифицированная версия трояна atrix.

Хостер выяснил, что троян был установлен через дыру в устаревшем RoundCube (веб-почта с открытыми исходниками), который мы ставили года 2 назад для модераторов. Потом надобность в нем отпала, а дыра осталась.

В общем, все, кто использует RoundCube - срочно обновляйтесь.

Последний раз редактировалось: alex.raven (12/06/09 в 10:19), всего редактировалось 1 раз

Баян.

Админу в торец за непропатченый софт.
Не расслабляйтесь, время такое

Мы сервак купили, настроили, потащили его в коло ставить, админ поставил пасс 6 одинаковых букв на рута.

Принесли в ДЦ подключили, сервак поднялся, пока ехали до конторы (40 минут) кто то успел отсканить, забрутфорсить пасс, установить кучу поебни и сменить рут пасс Приехали в контору пофтыкали, поехали обратно в ДЦ забирать сервак, реинсталить ось.

А ты говоришь скрипт дырявый 2х летний давности...

Оффтопик: А создатель lxadmin вообще повесился после найденной дыры и инцинтента с удалением кучи сайтов

Случилось то, чего и опасались больше всего. Наш айпи убрали из вайт-листа Senderscore. Это означает, что до 30% наших почтовых рассылок будут отправлены в папку Спам на крупнейших почтовых провайдерах: hotmail.com, yahoo.com, gmail.com, etc.

Код:

From: *@senderscorecertified.com Subject: [Disabled] ***** To: ***** Date: Monday, June 15, 2009, 10:15 AM This notice is to inform you of action taken regarding your IP address(es) in the Sender Score Certified Program. The following IP(s) have been disabled in the Sender Score Certified whitelist. IP: *.*.*.*: WLSRD Information about, and general recommendations for investigating and resolving a performance issue is located at: http://www.senderscorecertified.com/about/suspension.php http://www.senderscorecertified.com/about/ Information on the Email Sender Standards and Quantitative Requirements is available at the following locations: http://www.senderscorecertified.com/about/standards.php http://www.senderscorecertified.com/about/quan_req.php If you have any questions regarding this notice, please contact your Return Path Account Director or customercare@senderscorecertified.com. Sincerely, Sender Score Certified Compliance *@senderscorecertified.com Return Path, Inc

alex.raven писал:

Несколько дней назад у нас случился инцидент. Мы заметили резкое увеличение почтового трафика (если раньше отправлялось в день в среднем, 150000 писем, то количество возросло до более чем 1500000, т.е в 10 раз). В списке top процессов первую строчку занимал perl5.8.8, с 99% ресурсов процессора. Попросил саппорт хостера провести аудит нашего сервера.

Вопрос небольшой : А 150к писем до этого отсылаемые с вашего сервера - это что за хуйня?

_4eburek писал:

Вопрос небольшой : А 150к писем до этого отсылаемые с вашего сервера - это что за хуйня?

У нас адалт дейтинг. Большинство исходящей почты - это уведомления типа "вы получили письмо от такого-то юзера, кликните здесь чтобы прочитать".