• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

VPS. Самопроизвольный спам

Форумы VPS Самопроизвольный спам
info8889
30.08.2016 16:51
хостинг: есть
домен: есть
Самопроизвольный спам
Здравствуйте! Начался самопроизвольный спам из нашего почтового адреса (info@souvenirua.com) размещенного у вас на vps. Подскажите пути как найти и обезвредить вирус на vps? Что нужно сделать в первую очередь?
info8889
30.08.2016 17:31
хостинг: есть
домен: есть
Вроде поменяли пароль на почте и пока (последних 30 мин) писем не приходило
Андрей
30.08.2016 17:34
хостинг: есть
домен: нет
сложный пароль поставили?
toxi
30.08.2016 17:44
хостинг: есть
домен: есть
Подскажите пути как найти и обезвредить вирус на vps? Что нужно сделать в первую очередь? © info8889

Возможно еще понадобится проверить сайт на взлом. Но если пароль сменили на почтовом аккаунте и спам перестал отправляться, то значит попали в точку)
info8889
31.08.2016 12:02
хостинг: есть
домен: есть
Достаточно сложный вроде бы. Разве что на каком-то из компов шпионская прога тырит пароли, сейчас вроде компьютеры все просканировали антивирусов, на одном нашло вирусы. Почистили от вирусов, попробуем еще раз сменить пароль на еще более сложный.
Андрей
31.08.2016 12:06
хостинг: есть
домен: нет
Пароль на ящик стоит действительно сложный? Очень может быть, что просто сбрутили текущий пароль и лупят спам
info8889
31.08.2016 12:15
хостинг: есть
домен: есть
А по взлому как определить, на какие папки/файлы обращать внимание?
Андрей
31.08.2016 12:21
хостинг: есть
домен: нет
дата модификации + странные имена файлов / каталогов
toxi
31.08.2016 12:30
хостинг: есть
домен: есть
А по взлому как определить, на какие папки/файлы обращать внимание? © info8889

Если знать примерное время, то можно воспользоваться командой:
Поиск файлов, которые были модифицированы в последние 2 дня в директории /home/sites и во всех ее поддиректориях:
find /home/sites -type f -mtime -2

/home/sites - укажите свой каталог с сайтом/сайтами

Второй вариант с использованием утилиты inotify:
Установка в Debian:
apt-get install inotify-tools

Так же после установки и перед запуском выполнить:
echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

Запуск:
inotifywait -e create -e delete -e modify -r -m /home/sites

-e create -e delete -e modify - означает, что искать нужно файлы, которые были созданы, удалены или изменены с момента запуска утилиты inotify.

Формат лога будет выглядеть примерно следующим образом:
2016-08-01_15:11:32 : CREATE : /home/sites/112233
2016-08-01_15:11:45 : MODIFY : /home/sites/112233
2016-08-01_15:11:45 : MODIFY : /home/sites/112233
2016-08-01_15:11:48 : DELETE : /home/sites/112233

Либо создать скрипт и запустить его в фоне ( screen /bin/bash -c "/root/inotify_watch.sh /home/sites >> /var/log/inotify.log" ):
#!/bin/sh

# Set Big Limit
echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

inotifywait -e create -e delete -e modify -r -m $1 | while read dir events file; do
   echo "$(date +%Y-%m-%d_%H:%M:%S) : $events : $dir$file"
done

А так же отправка отчета на почту ( /root/inotify_watch_email.sh ) через cron:
#!/bin/bash

/usr/bin/mail -s "[Inotify Watch]" toxi@xxx.xxx.xxx <<< "message" < "/var/log/inotify.log"
info8889
31.08.2016 12:49
хостинг: есть
домен: есть
Спасибо, посмотрю
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города