The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вирус в CentOS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Изначальное сообщение [ Отслеживать ]

"Вирус в CentOS"  +/
Сообщение от Алескандр on 12-Май-16, 17:48 
Добрый день, помогите решить проблему.
Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае.
Что и где еще можно посмотреть ?

Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вирус в CentOS"  +/
Сообщение от Алескандр on 12-Май-16, 17:50 
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

походу CLAM делает свое дело, понаходил вирусняков, трафик попустило!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Вирус в CentOS"  +/
Сообщение от Виктор (??) on 12-Май-16, 23:14 
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Вирус в CentOS"  +/
Сообщение от Виктор (??) on 12-Май-16, 23:17 
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру