абуза от ДЦ помогите

[yo3ovladivostok]

что IRC коммунальные услуги установлены в вашей системе.

/91030/etc/logrotate.d/lircd

/91030/etc/rc.d/init.d/lircd

/91030/etc/rc.d/rc0.d/K10lircd

/91030/etc/rc.d/rc1.d/K10lircd

/91030/etc/rc.d/rc2.d/K10lircd

/91030/etc/rc.d/rc3.d/K10lircd

/91030/etc/rc.d/rc4.d/K10lircd

/91030/etc/rc.d/rc5.d/K10lircd

/91030/etc/rc.d/rc6.d/K10lircd

/91030/usr/sbin/lircd

/91030/usr/share/doc/lirc-0.6.6/lircd.conf

/91030/usr/share/doc/lirc-0.6.6/doc/html/lircd.html

/91030/usr/share/doc/lirc-0.6.6/doc/man/lircd.8

/91030/usr/share/doc/lirc-0.6.6/remotes/animax/lircd.conf.animax

/91030/usr/share/doc/lirc-0.6.6/remotes/avermedia/lircd.conf.avermedia

/91030/usr/share/doc/lirc-0.6.6/remotes/avermedia/lircd.conf.avermedia98

/91030/usr/share/doc/lirc-0.6.6/remotes/bestbuy/lircd.conf.bestbuy

/91030/usr/share/doc/lirc-0.6.6/remotes/bestbuy/lircd.conf.bestbuy2

/91030/usr/share/doc/lirc-0.6.6/remotes/caraca/lircd.conf.caraca

/91030/usr/share/doc/lirc-0.6.6/remotes/chronos/lircd.conf.chronos

/91030/usr/share/doc/lirc-0.6.6/remotes/cph03x/lircd.conf.cph03x

/91030/usr/share/doc/lirc-0.6.6/remotes/creative/lircd.conf.creative

/91030/usr/share/doc/lirc-0.6.6/remotes/hauppauge/lircd.conf.hauppauge

/91030/usr/share/doc/lirc-0.6.6/remotes/knc_one/lircd.conf.knc_one

/91030/usr/share/doc/lirc-0.6.6/remotes/life-view/lircd.conf.FlyVideo_II

/91030/usr/share/doc/lirc-0.6.6/remotes/life-view/lircd.conf.fly98

/91030/usr/share/doc/lirc-0.6.6/remotes/logitech/lircd.conf.logitech

/91030/usr/share/doc/lirc-0.6.6/remotes/packard_bell/lircd.conf.packard_bell

/91030/usr/share/doc/lirc-0.6.6/remotes/pinnacle_systems/lircd.conf.pctv

/91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv

/91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv_bt878

/91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.playtv_pro

/91030/usr/share/doc/lirc-0.6.6/remotes/pixelview/lircd.conf.remotemaster

/91030/usr/share/doc/lirc-0.6.6/remotes/provideo/lircd.conf.pv951

/91030/usr/share/doc/lirc-0.6.6/remotes/sigma_designs/lircd.conf.realmagic

/91030/usr/share/doc/lirc-0.6.6/remotes/silitek/lircd.conf.silitek

/91030/usr/share/doc/lirc-0.6.6/remotes/technisat/lircd.conf.mediafocusI

/91030/usr/share/doc/lirc-0.6.6/remotes/tekram/lircd.conf.m230

/91030/usr/share/doc/lirc-0.6.6/remotes/winfast/lircd.conf.tv2000

/91030/usr/share/man/man8/lircd.8.gz

Это является нарушением наших TOS / AUP.

что делать помогите !

 

[zigumba]

Если Вы не ставили это сами - значит ваш сервер взломали и понаставили всю эту гадость.
Судя по всему так оно и было...

1. Смените все пароли
2. Поставьте защиту
- рекомендую закрыть все ненужные порты файрволом (рекомендую firehol)
- Если у Вас сервер используется только для веба, закройте все порты кроме 80, ssh и ftp. ssh и ftp разрешите доступ только из ваших подсетей (никто левый туда зайти не сможет, даже зная пароль)
3. Почистите сервер от всей этой гадости и живите спокойно.
Как правильно настроить firehol - в сети очень много статей и документации.
4. При желании можно еще защитить апач с помощью mod_security
5. Поищите вирусы, шеллы и прочее (как-то же к Вам должны были проникнуть). Для этого тоже навалом софта.

 

[yo3ovladivostok]

а чем можно почистите сервер если у меня сервер linux

 

[zigumba]

Для начала удалите всю эту хрень, пути к которой Вы приводите в первом письме.
шелы вычищаются прогой chkrootkit или rkhunter

Если Вы не очень хорошо разбираетесь в *nix системах, лучше наймите знающего человека.
...или потратьте много времени и разберитесь =)

 

[jabbaxatt]

Я тоже не разбираюсь в никсах и меня тоже ломали.
Знающие люди посоветовали так:
1)Удали то откуда спамились(в твоем случае - удали IRQ)
2)Обнови панель управления (в моем случае - возможно сломали DirectAdmin которуя я пол года не обновлял)
3) Почисть папку TMP от шеллов.
И стоит вдобавок:
4) Проверь скрипты на предмет шеллов (я находил 1шт - в шаблоне Joomla заныкали, пидарасы)
5) Поменяй пароли
6) Обнови скрипты сайтов на свежие версии CMS
7) шеллы могут быть не только в папке TMP, но в других местах я не знаю как толком искать. В сети написано много, если понадобится - разберешся.
8) Отпиши хостеру и все обьясни подробно.

Для доступа по SSH удобно юзать WinSCP.

 

[yo3ovladivostok]

у меня тоже joomla шоб game_crusade

 

[zigumba]

Жумла сама по себе тоже может быть дырявой.
Чтобы себя дополнительно защитить от такого - необходимо в панеле управления выставить для виртуалхоста:
Safe Mode = on
BaseDir = on
Это сделает невозможным работу любого шела.

 

[despainer]

Жумла сама по себе тоже может быть дырявой.
Чтобы себя дополнительно защитить от такого - необходимо в панеле управления выставить для виртуалхоста:
Safe Mode = on
BaseDir = on
Это сделает невозможным работу любого шела.

однозначно не выход....потому что с сайфмодом могут не работать некоторые скрипты,например ругается та же джумла
ставим apache-mpm-itk

Apache-mpm-itk

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

добавляем строчку в php.ini в соответсвующей секции

disable_functions = wget,phpinfo,fetch,lynx,links,shell_exec,popen,system,ps,sysctl,fsocketopen,uname,httpd,cat,netstat,lsattr,locate,find,chown,tar,ls,la,ln,cp,rar,cat,grep,sh,make,gcc,yum,symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,proc_terminate,proc_getstatus,virtual,show_source,mysql_list_dbs,get_current_user,getmyid,apache_child_terminate,leak,ini_restore,pfsockopen,exec,proc_get_status,proc_nice,shell_exec,system,popen,pcntl_alarm,pcntl_exec,pcntl_fork,pcntl_getpriority,pcntl_setpriority,pcntl_signal,pcntl_wait,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,dl,posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,mb_send_mail,pcntl _setpriority,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv

ставим мод секьюрити и настраиваем его:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

перегружаем апач и радуемся...

Данное решение конечно не панацея от всех проблем =)


возможностей у модсекса многа но учтите что при неправильной настройке он может побанить роботов поисковых систем поскольку считает их запросы вредными поэтому лучше убить побольше времени на настройку сервера чем потом жалеть о падении тица

 

[zigumba]

SafeMod - очень даже хороший выход. В 90 случаях если скрипты написаны грамотно - они работают. Очень редко скриптам нужны функции, которые блокируются сэйфмодом.
Если жумла начинает глючить - ее всегда можно подправить.