вторник, 13 января 2009 г.

Сделали частью ботнет сети

Активируй свой Блог! Система Активной Рекламы WMZONA.COM * [Будущий миллионер]
Как-то пару недель назад, захожу я на свой основной сервер, по привычке запускаю мониторинг процессов(команда top, я всегда слежу за загрузкой) и вижу следующую картину:

18580 bin 15 0 24116 8932 4144 S 0 0.4 0:03.58 php sesion.php 66.252.139.23
18792 bin 15 0 24116 8924 4144 S 0 0.4 0:01.45 php sesion.php 66.252.142.247
19100 bin 15 0 24116 8920 4144 S 0 0.4 0:00.49 php sesion.php 66.252.14.7
19203 bin 15 0 24112 8932 4144 S 0 0.4 0:03.22 php sesion.php 66.252.155.30
19730 bin 15 0 24112 8924 4144 S 0 0.4 0:00.20 php sesion.php 66.252.170.180
22327 bin 15 0 24116 8928 4144 S 0 0.4 0:00.23 php sesion.php 66.252.170.30

Командой who я узнаю, что на серваке сидит чужак под именем bin:

bin pts/4 Nov 12 07:36 (ac9e9364.ipt.aol.com)
root pts/5 Nov 12 10:34 (*.*.*.*)
root pts/6 Nov 12 10:34 (*.*.*.*)

В панике я начинаю судорожно вспоминать, как загасить все процессы определённого пользователя. Нашёл папку с вредоносными программами, перенёс её в укромное местечко, удалил пользователя bin, перегрузил машину(shutdown –h now).

В итоге мне достался полный комплект софта для брута с библиотекой логинов и паролей. На этом сервере это уже второй случай за год(библиотека паролей растёт, гыгы).

Как обезопасить на будущее?

Как один из вариантов, раз в час запускать программу, которая будет проверять список текущих пользователей, если в списке есть чужаки, отправлять алерт на тот же емайл, на который поступают сигналы о не рабочих серверах.


__________ халявные ТИЦки __________

shuya-moloko.ru - свободен, ТИЦ=10.

Кто зарегит - сообщает в комментариях(только без говно-ссылок на ваши сайты по продаже пластиковых окон).

Регомендую домены регистрировать в РуЦентре(300 руб. для партнёров) или Reg.ru(130 руб. для партнёров), хостинг заказывать у РуЦентра(162 руб/мес. за 3 сайта) или у Reg.ru(199 руб/мес. за 10 сайтов).

Если не знаем что сейчас делать с этим добром, вешаем на парковку!

Но лучше сбацать сайт и отправить в сапу на заработки.

p.s. опять опоздал на раздачу?! подписывайся на RSS, будет много вкусного :)

Blogun Helper или секреты агрессивного манимейкинга
* Реклама в бомжеленте.

Помогите детям!

[http://100baksov.blogspot.com/2009/01/blog-post_12.html]