URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 163
[ Назад ]

Исходное сообщение
"вскрыли Apache, запустили /tmp/.a - что делать"
Отправлено Philip , 22-Июл-02 21:46

Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате запустили программу от имени nobody (хозяин apache), которая называется .a и лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких серверов одновременно!)
Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос, как прекратить запросы к нему - за входящий трафик денежка платится...
Филипп

Содержание

RE: вскрыли Apache, запустили /tmp/.a - что делать,amber46, 02:53 , 23-Июл-02
- RE: вскрыли Apache, запустили /tmp/.a - что делать,Mikka, 09:50 , 24-Июл-02
RE: вскрыли Apache, запустили /tmp/.a - что делать,Romanius, 16:57 , 28-Ноя-02

Сообщения в этом обсуждении

"RE: вскрыли Apache, запустили /tmp/.a - что делать"
Отправлено amber46 , 23-Июл-02 02:53

>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате
>запустили программу от имени nobody (хозяин apache), которая называется .a и
>лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик
>к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких
>серверов одновременно!)
>
>Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос,
>как прекратить запросы к нему - за входящий трафик денежка платится...
>
>
>Филипп

проапдейтиться до весрии 1.3.26

"RE: вскрыли Apache, запустили /tmp/.a - что делать"
Отправлено Mikka , 24-Июл-02 09:50

Прекратить - ставим фильтр на border gw на 2001 порт. Тогда все будет кончатся на нем, останутся только TCP-SYN запросы до этого gw

"RE: вскрыли Apache, запустили /tmp/.a - что делать"
Отправлено Romanius , 28-Ноя-02 16:57

>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате
>запустили программу от имени nobody (хозяин apache), которая называется .a и
>лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик
>к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких
>серверов одновременно!)
>
>Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос,
>как прекратить запросы к нему - за входящий трафик денежка платится...
>
>
>Филипп
Хм. Знакомая ситуация. Хотя неактуально но все же.
1. Значит подобная эпидемия бродит по миру и по сей день.
Собственно поток на 2001 (wizard) порт сыпется издалека и из многих мест (в моем случае было задействовано около 30000 узлов). Решение простое, связаться с апстрим-провайдером что-бы перекрыли еще на подходе к тебе этот поток.
2. По поводу дыр в апаче, отдельный разговор. Собственно подобный баг был выловлен давно и о нем писали в баг-репортах самого апача. Собственно надо апдейтить и еще пару телодвижений сделать.