PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : تشخیص این حمله روی سرور و راه مقابله با آن


taranehgoo
April 24th, 2016, 00:24
سلام
مدتی هست که این حملات از طریق لاگ lfd مشاهده میشه:


Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30253 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30248 Kill:0 User:userhost VM:274(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:27 servername lfd[30328]: *User Processing* PID:30212 Kill:0 User:userhost VM:259(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:44:26 servername lfd[31595]: *User Processing* PID:30429 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"

خواهشن بگید چه نوع حمله ای هست و باید چیکار کنم؟
T.Toosi
April 24th, 2016, 04:48
باسلام، بد افزار ارسال ایمیل هست، اگر ایمیل استفاده نمیکنید متد sendmail را کلا ببندید.
taranehgoo
April 24th, 2016, 10:07
باسلام، بد افزار ارسال ایمیل هست، اگر ایمیل استفاده نمیکنید متد sendmail را کلا ببندید.

سلام
خیلی ممنون از پاسختون
هاست های روی سرور از ایمیل استفاده میکنن، پس نمیتونم این کار رو کنم.
آیا راه دیگه ای بنظرتون میرسه؟
zartosht
April 24th, 2016, 11:12
سلام
خیلی ممنون از پاسختون
هاست های روی سرور از ایمیل استفاده میکنن، پس نمیتونم این کار رو کنم.
آیا راه دیگه ای بنظرتون میرسه؟

محدودیت ارسال ایمیل ایجاد کنید و جهت رفع مشکلات ویروس ها و شل ها از

http://configserver.com/cp/cxs.html


استفاده کنید
taranehgoo
April 24th, 2016, 13:47
محدودیت ارسال ایمیل ایجاد کنید و جهت رفع مشکلات ویروس ها و شل ها از

http://configserver.com/cp/cxs.html


استفاده کنید

ممنون از پاسختون
آیا با ClamAV هم میشه این بدافزار رو حذف کرد و فعالیتش رو متوقف کرد؟
zartosht
April 24th, 2016, 14:16
ممنون از پاسختون
آیا با ClamAV هم میشه این بدافزار رو حذف کرد و فعالیتش رو متوقف کرد؟

به تنهای clamav فکر نکنم کافی باشه ،

تمامی شرکت های بزرگ هاستینگی که من میشناسم مثل ایران سرور نت افزار و ... از همین اسکنر که clamav رو تقویت میکنه استفاده میکنند
taranehgoo
April 24th, 2016, 16:01
به تنهای clamav فکر نکنم کافی باشه ،

تمامی شرکت های بزرگ هاستینگی که من میشناسم مثل ایران سرور نت افزار و ... از همین اسکنر که clamav رو تقویت میکنه استفاده میکنند

فعلا برام مقدور نیست بتونم cxs رو تهیه کنم.
متاسفانه calamav هم نمیتونه جلوی فعالیت بدافزار رو بگیره، البته چند مورد Heuristics.Phishing.Email.SpoofedDomain رو پیدا کرد اما همچنان داره همین لاگ هایی که تو پست اول گفتم رو نشون میده!
اگر راهی برای مقابله دارید، ممنون میشم بگید.
aligoli
April 24th, 2016, 16:09
کنترل پنل چیه مهندس ؟
taranehgoo
April 25th, 2016, 00:36
کنترل پنل چیه مهندس ؟

دایرکت ادمین
taranehgoo
April 25th, 2016, 17:23
همچنان منتظر راهکارهای شما هستم
secure_host
April 26th, 2016, 07:49
سلام
مدتی هست که این حملات از طریق لاگ lfd مشاهده میشه:


Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30253 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30248 Kill:0 User:userhost VM:274(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:27 servername lfd[30328]: *User Processing* PID:30212 Kill:0 User:userhost VM:259(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:44:26 servername lfd[31595]: *User Processing* PID:30429 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"

خواهشن بگید چه نوع حمله ای هست و باید چیکار کنم؟
لاگ های Exim رو بخونید. احتمالا نام فایل مخرب رو معرفی کرده باشد.
باتشکر
ertebat7
April 26th, 2016, 09:06
لاگ های Exim رو بخونید. احتمالا نام فایل مخرب رو معرفی کرده باشد.
باتشکر

در مورد مشکل این دوستمون
پیدا کردن فایل های مخرب چاره ساز نیست
چون پس از شناسایی این فایل ها و پاک کردنشون مجددا ایجاد می شوند
این مورد را در یکی از وی پی اس های مشتری چند ماه پیش داشتیم
کنترل پنل دایرکت ادمین بود و فقط وردپرس نصب شده بود
در مرحله اول کلیه فایل های مخرب را شناسایی کردیم و همگی پاک شد ولی بعد از 24 ساعت متوجه شدیم دوباره فایل ها به نام های دیگری و در مسیرهای متفاوت ایجاد شده اند
پس از بررسی متوجه شدیم یک پلاگین وردپرس دلیل این مشکل هست
فایل های این پلاگین بارها توسط
clamav , lmdو...
بررسی شده بود و هیچ مشکلی نداشت ولی ساختارش به این صورت بود که از یک سرور دیگر این فایل ها را هر 24 ساعت جایگزین میکرد
و جالب اینجا بود اسم فایل ها و مسیر اونها هم تغییر میداد


شما دوست عزیز هم پیشنهاد میکنم به دنبال منبع اصلی ایجاد این فایل ها بگردید که البته دو سه روزی مستلزم مانیتورینگ دقیق می باشد
کمکی خواستید از طریق یاهو در خدمت شما هستم
taranehgoo
April 26th, 2016, 19:03
لاگ های Exim رو بخونید. احتمالا نام فایل مخرب رو معرفی کرده باشد.
باتشکر


در مورد مشکل این دوستمون
پیدا کردن فایل های مخرب چاره ساز نیست
چون پس از شناسایی این فایل ها و پاک کردنشون مجددا ایجاد می شوند
این مورد را در یکی از وی پی اس های مشتری چند ماه پیش داشتیم
کنترل پنل دایرکت ادمین بود و فقط وردپرس نصب شده بود
در مرحله اول کلیه فایل های مخرب را شناسایی کردیم و همگی پاک شد ولی بعد از 24 ساعت متوجه شدیم دوباره فایل ها به نام های دیگری و در مسیرهای متفاوت ایجاد شده اند
پس از بررسی متوجه شدیم یک پلاگین وردپرس دلیل این مشکل هست
فایل های این پلاگین بارها توسط
clamav , lmdو...
بررسی شده بود و هیچ مشکلی نداشت ولی ساختارش به این صورت بود که از یک سرور دیگر این فایل ها را هر 24 ساعت جایگزین میکرد
و جالب اینجا بود اسم فایل ها و مسیر اونها هم تغییر میداد


شما دوست عزیز هم پیشنهاد میکنم به دنبال منبع اصلی ایجاد این فایل ها بگردید که البته دو سه روزی مستلزم مانیتورینگ دقیق می باشد
کمکی خواستید از طریق یاهو در خدمت شما هستم

ممنون از پاسختون.
اما توی لاگهای Exim هیچ فایلی مربوط به این مورد پیدا نمیکنم.

ظاهراً از طریق فایل php و... انجام نمیشه!