Re: Jeg har ubudne gæster
Med
lsof
får du en liste over hvilke processer der kører, samt de filer processerne
bruger. Hvis du kører lsof når der bliver sendt onde mails, kan du formentlig
finde frem til den fil der starter mailen.
Men det hindrer dem jo ikke i at lave nummeret igen.
læs Torben Schou Jensens beskrivelse af hvordan man gør:
http://swampthing.dk/attack1/
Torben nævner også at det er værd at chekke for rootkit.
Det kan også være meget godt at køre noget find og få listet filer der har
www-data som bruger.
Flemming
lørdag 14 oktober 2006 13:42 skrev Anders Ellenshøj Andersen:
> Altså det er egentlig min ven der har det, men.. whatever..
>
> Vi lagde tilfældigvis mærke til at postserveren er begyndt at sende ting
> til underlige mennesker vi ikke kender.
>
> poweroff og reboot virkede pludselig ikke
>
> vi fik fat i den fysiske box og fik genstartet den. Nu virker poweroff og
> reboot igen.
>
> Efter reboot ser vi følgende i syslog
>
> Oct 14 13:10:42 medusa postfix/smtp[6033]: connect to
> mailin-01.mx.aol.com[64.12.137.184]: server refused to talk to me: 554-
> (RTR:CH) http://postmaster.info.aol.com/errors/554rtrch.html (port 25)
> Oct 14 13:10:42 medusa postfix/smtp[6033]: connect to
> mailin-02.mx.aol.com[205.188.155.89]: server refused to talk to me: 554-
> (RTR:CH) http://postmaster.info.aol.com/errors/554rtrch.html (port 25)
>
> Den besked er der mange gange.
>
> Nu er det så at jeg ikke rigtigt ved hvad man kan gøre. Min eneste teori er
> at de er kommet ind ved hjælp af et CRM system som kører på serveren, men
> spørgsmålet er om de har fået root adgang, eller om de bare har fået
> kontrol over postfix.
>
> Nogen idéer til hvad jeg skal checke?
>
> Med Venlig Hilsen
>
> Anders E. Andersen
Reply to: