• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

VPS. Самопроизвольный спам

Форумы VPS Самопроизвольный спам
info8889
30.08.2016
хостинг: есть
домен: есть
Самопроизвольный спам
Здравствуйте! Начался самопроизвольный спам из нашего почтового адреса (info@souvenirua.com) размещенного у вас на vps. Подскажите пути как найти и обезвредить вирус на vps? Что нужно сделать в первую очередь?
info8889
30.08.2016
хостинг: есть
домен: есть
Вроде поменяли пароль на почте и пока (последних 30 мин) писем не приходило
Андрей
30.08.2016
хостинг: есть
домен: есть
сложный пароль поставили?
toxi
30.08.2016
хостинг: есть
домен: есть
Подскажите пути как найти и обезвредить вирус на vps? Что нужно сделать в первую очередь? © info8889

Возможно еще понадобится проверить сайт на взлом. Но если пароль сменили на почтовом аккаунте и спам перестал отправляться, то значит попали в точку)
info8889
31.08.2016
хостинг: есть
домен: есть
Достаточно сложный вроде бы. Разве что на каком-то из компов шпионская прога тырит пароли, сейчас вроде компьютеры все просканировали антивирусов, на одном нашло вирусы. Почистили от вирусов, попробуем еще раз сменить пароль на еще более сложный.
Андрей
31.08.2016
хостинг: есть
домен: есть
Пароль на ящик стоит действительно сложный? Очень может быть, что просто сбрутили текущий пароль и лупят спам
info8889
31.08.2016
хостинг: есть
домен: есть
А по взлому как определить, на какие папки/файлы обращать внимание?
Андрей
31.08.2016
хостинг: есть
домен: есть
дата модификации + странные имена файлов / каталогов
toxi
31.08.2016
хостинг: есть
домен: есть
А по взлому как определить, на какие папки/файлы обращать внимание? © info8889

Если знать примерное время, то можно воспользоваться командой:
Поиск файлов, которые были модифицированы в последние 2 дня в директории /home/sites и во всех ее поддиректориях:
find /home/sites -type f -mtime -2

/home/sites - укажите свой каталог с сайтом/сайтами

Второй вариант с использованием утилиты inotify:
Установка в Debian:
apt-get install inotify-tools

Так же после установки и перед запуском выполнить:
echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

Запуск:
inotifywait -e create -e delete -e modify -r -m /home/sites

-e create -e delete -e modify - означает, что искать нужно файлы, которые были созданы, удалены или изменены с момента запуска утилиты inotify.

Формат лога будет выглядеть примерно следующим образом:
2016-08-01_15:11:32 : CREATE : /home/sites/112233
2016-08-01_15:11:45 : MODIFY : /home/sites/112233
2016-08-01_15:11:45 : MODIFY : /home/sites/112233
2016-08-01_15:11:48 : DELETE : /home/sites/112233

Либо создать скрипт и запустить его в фоне ( screen /bin/bash -c "/root/inotify_watch.sh /home/sites >> /var/log/inotify.log" ):
#!/bin/sh

# Set Big Limit
echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

inotifywait -e create -e delete -e modify -r -m $1 | while read dir events file; do
   echo "$(date +%Y-%m-%d_%H:%M:%S) : $events : $dir$file"
done

А так же отправка отчета на почту ( /root/inotify_watch_email.sh ) через cron:
#!/bin/bash

/usr/bin/mail -s "[Inotify Watch]" toxi@xxx.xxx.xxx <<< "message" < "/var/log/inotify.log"
info8889
31.08.2016
хостинг: есть
домен: есть
Спасибо, посмотрю
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Горячая линия
(044)
392 74 33
другие города