URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5375
[ Назад ]

Исходное сообщение
"Вирус в CentOS"
Отправлено Алескандр , 12-Май-16 17:48

Добрый день, помогите решить проблему.
Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае.
Что и где еще можно посмотреть ?
Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.

Содержание

Вирус в CentOS,Алескандр, 17:50 , 12-Май-16
Вирус в CentOS,Виктор, 23:14 , 12-Май-16
Вирус в CentOS,Виктор, 23:17 , 12-Май-16

Сообщения в этом обсуждении

"Вирус в CentOS"
Отправлено Алескандр , 12-Май-16 17:50

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
походу CLAM делает свое дело, понаходил вирусняков, трафик попустило!

"Вирус в CentOS"
Отправлено Виктор , 12-Май-16 23:14

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...

"Вирус в CentOS"
Отправлено Виктор , 12-Май-16 23:17

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.
Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.