абуза от ДЦ помогите

Тема в разделе "Администрирование серверов", создана пользователем yo3ovladivostok, 21 апр 2010.

Статус темы:
Закрыта.
Модераторы: mefish, stooper
  1. yo3ovladivostok

    yo3ovladivostok Постоялец

    Регистр.:
    27 июл 2008
    Сообщения:
    100
    Симпатии:
    3
    что IRC коммунальные услуги установлены в вашей системе.

    /91030/etc/logrotate.d/lircd

    /91030/etc/rc.d/init.d/lircd

    /91030/etc/rc.d/rc0.d/K10lircd

    /91030/etc/rc.d/rc1.d/K10lircd

    /91030/etc/rc.d/rc2.d/K10lircd

    /91030/etc/rc.d/rc3.d/K10lircd

    /91030/etc/rc.d/rc4.d/K10lircd

    /91030/etc/rc.d/rc5.d/K10lircd

    /91030/etc/rc.d/rc6.d/K10lircd

    /91030/usr/sbin/lircd

    /91030/usr/share/doc/lirc-0.6.6/lircd.conf

    /91030/usr/share/doc/lirc-0.6.6/doc/html/lircd.html

    /91030/usr/share/doc/lirc-0.6.6/doc/man/lircd.8

    /91030/usr/share/doc/lirc-0.6.6/remotes/animax/lircd.conf.animax

    /91030/usr/share/doc/lirc-0.6.6/remotes/avermedia/lircd.conf.avermedia

    /91030/usr/share/doc/lirc-0.6.6/remotes/avermedia/lircd.conf.avermedia98

    /91030/usr/share/doc/lirc-0.6.6/remotes/bestbuy/lircd.conf.bestbuy

    /91030/usr/share/doc/lirc-0.6.6/remotes/bestbuy/lircd.conf.bestbuy2

    /91030/usr/share/doc/lirc-0.6.6/remotes/caraca/lircd.conf.caraca

    /91030/usr/share/doc/lirc-0.6.6/remotes/chronos/lircd.conf.chronos

    /91030/usr/share/doc/lirc-0.6.6/remotes/cph03x/lircd.conf.cph03x

    /91030/usr/share/doc/lirc-0.6.6/remotes/creative/lircd.conf.creative

    /91030/usr/share/doc/lirc-0.6.6/remotes/hauppauge/lircd.conf.hauppauge

    /91030/usr/share/doc/lirc-0.6.6/remotes/knc_one/lircd.conf.knc_one

    /91030/usr/share/doc/lirc-0.6.6/remotes/life-view/lircd.conf.FlyVideo_II

    /91030/usr/share/doc/lirc-0.6.6/remotes/life-view/lircd.conf.fly98

    /91030/usr/share/doc/lirc-0.6.6/remotes/logitech/lircd.conf.logitech

    /91030/usr/share/doc/lirc-0.6.6/remotes/packard_bell/lircd.conf.packard_bell

    /91030/usr/share/doc/lirc-0.6.6/remotes/pinnacle_systems/lircd.conf.pctv

    /91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv

    /91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv_bt878

    /91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv_pro

    /91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.remotemaster

    /91030/usr/share/doc/lirc-0.6.6/remotes/provideo/lircd.conf.pv951

    /91030/usr/share/doc/lirc-0.6.6/remotes/sigma_designs/lircd.conf.realmagic

    /91030/usr/share/doc/lirc-0.6.6/remotes/silitek/lircd.conf.silitek

    /91030/usr/share/doc/lirc-0.6.6/remotes/technisat/lircd.conf.mediafocusI

    /91030/usr/share/doc/lirc-0.6.6/remotes/tekram/lircd.conf.m230

    /91030/usr/share/doc/lirc-0.6.6/remotes/winfast/lircd.conf.tv2000

    /91030/usr/share/man/man8/lircd.8.gz

    Это является нарушением наших TOS / AUP.

    что делать помогите !
     
  2. zigumba

    zigumba Постоялец

    Регистр.:
    24 янв 2008
    Сообщения:
    61
    Симпатии:
    6
    Если Вы не ставили это сами - значит ваш сервер взломали и понаставили всю эту гадость.
    Судя по всему так оно и было...

    1. Смените все пароли
    2. Поставьте защиту
    - рекомендую закрыть все ненужные порты файрволом (рекомендую firehol)
    - Если у Вас сервер используется только для веба, закройте все порты кроме 80, ssh и ftp. ssh и ftp разрешите доступ только из ваших подсетей (никто левый туда зайти не сможет, даже зная пароль)
    3. Почистите сервер от всей этой гадости и живите спокойно.
    Как правильно настроить firehol - в сети очень много статей и документации.
    4. При желании можно еще защитить апач с помощью mod_security
    5. Поищите вирусы, шеллы и прочее (как-то же к Вам должны были проникнуть). Для этого тоже навалом софта.
     
  3. yo3ovladivostok

    yo3ovladivostok Постоялец

    Регистр.:
    27 июл 2008
    Сообщения:
    100
    Симпатии:
    3
    а чем можно почистите сервер если у меня сервер linux
     
  4. zigumba

    zigumba Постоялец

    Регистр.:
    24 янв 2008
    Сообщения:
    61
    Симпатии:
    6
    Для начала удалите всю эту хрень, пути к которой Вы приводите в первом письме.
    шелы вычищаются прогой chkrootkit или rkhunter

    Если Вы не очень хорошо разбираетесь в *nix системах, лучше наймите знающего человека.
    ...или потратьте много времени и разберитесь =)
     
    yo3ovladivostok нравится это.
  5. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    896
    Симпатии:
    422
    Я тоже не разбираюсь в никсах и меня тоже ломали.
    Знающие люди посоветовали так:
    1)Удали то откуда спамились(в твоем случае - удали IRQ)
    2)Обнови панель управления (в моем случае - возможно сломали DirectAdmin которуя я пол года не обновлял)
    3) Почисть папку TMP от шеллов.
    И стоит вдобавок:
    4) Проверь скрипты на предмет шеллов (я находил 1шт - в шаблоне Joomla заныкали, пидарасы)
    5) Поменяй пароли
    6) Обнови скрипты сайтов на свежие версии CMS
    7) шеллы могут быть не только в папке TMP, но в других местах я не знаю как толком искать. В сети написано много, если понадобится - разберешся.
    8) Отпиши хостеру и все обьясни подробно.

    Для доступа по SSH удобно юзать WinSCP.
     
  6. yo3ovladivostok

    yo3ovladivostok Постоялец

    Регистр.:
    27 июл 2008
    Сообщения:
    100
    Симпатии:
    3
    у меня тоже joomla шоб game_crusade
     
  7. zigumba

    zigumba Постоялец

    Регистр.:
    24 янв 2008
    Сообщения:
    61
    Симпатии:
    6
    Жумла сама по себе тоже может быть дырявой.
    Чтобы себя дополнительно защитить от такого - необходимо в панеле управления выставить для виртуалхоста:
    Safe Mode = on
    BaseDir = on
    Это сделает невозможным работу любого шела.
     
  8. despainer

    despainer

    Регистр.:
    15 фев 2008
    Сообщения:
    615
    Симпатии:
    168
    однозначно не выход....потому что с сайфмодом могут не работать некоторые скрипты,например ругается та же джумла
    ставим apache-mpm-itk

    Apache-mpm-itk

    http://ru.ispdoc.com/index.php/Установка_Apache_MPM-ITK
    http://www.nulled.ws/blog.php?b=204

    добавляем строчку в php.ini в соответсвующей секции

    Код:
    disable_functions = wget,phpinfo,fetch,lynx,links,shell_exec,popen,system,ps,sysctl,fsocketopen,uname,httpd,cat,netstat,lsattr,locate,find,chown,tar,ls,la,ln,cp,rar,cat,grep,sh,make,gcc,yum,symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,proc_terminate,proc_getstatus,virtual,show_source,mysql_list_dbs,get_current_user,getmyid,apache_child_terminate,leak,ini_restore,pfsockopen,exec,proc_get_status,proc_nice,shell_exec,system,popen,pcntl_alarm,pcntl_exec,pcntl_fork,pcntl_getpriority,pcntl_setpriority,pcntl_signal,pcntl_wait,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,dl,posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,mb_send_mail,pcntl _setpriority,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv
    
    
    
    
    ставим мод секьюрити и настраиваем его:


    http://www.securitylab.ru/analytics/216322.php
    http://www.opennet.ru/base/sec/mod_security2.txt.html
    http://modsecurity.org/


    перегружаем апач и радуемся...

    Данное решение конечно не панацея от всех проблем =)


    возможностей у модсекса многа но учтите что при неправильной настройке он может побанить роботов поисковых систем поскольку считает их запросы вредными поэтому лучше убить побольше времени на настройку сервера чем потом жалеть о падении тица
     
  9. zigumba

    zigumba Постоялец

    Регистр.:
    24 янв 2008
    Сообщения:
    61
    Симпатии:
    6
    SafeMod - очень даже хороший выход. В 90 случаях если скрипты написаны грамотно - они работают. Очень редко скриптам нужны функции, которые блокируются сэйфмодом.
    Если жумла начинает глючить - ее всегда можно подправить.
     
Статус темы:
Закрыта.