Hace unos días recibí un abuso de spam en mi servidor.
Como precaución, bloqueé el puerto SMTP e inicié una investigación.
Encontré un proceso Perl en ejecución. El script que estaba usando se eliminó, pero encontré su contenido en /proc/PID/fd/3
. Aquí está su md5:
server:~# md5sum spam_scipt
c97b6d65fe2e928f190ca4a8cf23747c spam_scipt
Ese script Perl se usó para enviar spam desde mi servidor. Utiliza un algoritmo de generación de dominio para generar una URL para una zona de descarga donde se envía el estado del proceso de spam. Modifiqué el script para ver qué enlace se está generando en este momento:
server:~# perl spam_scipt
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://ibkxluxisp.redacted.info:1905//b/index.php?id=5cb885d577c7bbacdae44dd9f7f86b641ad60d58b1b9df07b97953a70376ec47&check=1
Generate host ibkxluxisp.redacted.info:1905
https://ibkxluxisp.redacted.info:1905//b/index.php?id=5fb58ad575c14b08785ae5255ffbf83c9f561d18e961b2eb96dc5a058a41&version=18&sent=0&user=584e6388c671f38756eac21cec
Y el segundo intento:
server:~# perl spam_scipt
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://wodhvqubux.redacted.info:1905//b/index.php?id=5cb186d575c44b1e5174c7c111636063b338bc3ef4d46e4533036eded038a7&check=1
Generate host wodhvqubux.redacted.info:1905
https://wodhvqubux.redacted.info:1905//b/index.php?id=5a497fe86dde12da162b6460bb8cd215966679ad7bf97338b9b6c2e741fe&version=18&sent=0&user=544c648ace7ff7834db9fadf36bdserver:~# ;
El subdominio solo cambia ahora. Entonces, después de un simple ping, obtenemos la dirección IP de la zona de caída:
server:~# ping vodhvqubux.redacted.info
PING vodhvqubux.redacted.info (94.23.208.20) 56(84) bytes of data.
64 bytes from ns207415.ovh.net (94.23.208.20): icmp_seq=1 ttl=59 time=4.02 ms
^C
--- vodhvqubux.redacted.info ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.026/4.026/4.026/0.000 ms
Esos delincuentes ya han aparecido en público con la misma dirección IP: enlace http://www.jaguarpc.com/forums/general-hosting-network-support/26972-could-need-some-help-compromised-system-cannot-find-door.html
No entiendo cómo hace el script de carga con acceso de root sin siquiera saber la contraseña. Aquí está el entorno para ese proceso perl:
SHELL=/bin/bash
SSH_CLIENT=xx.xx.xx.xx.xx 60480 220
USER=root
MAIL=/var/mail/root
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin
PWD=/tmp
SHLVL=1
HOME=/root
LOGNAME=root
SSH_CONNECTION=xxx.xxx.xxx.xxx 60480 xx.xx.xx.xx 220
_=/usr/bin/nohup
OLDPWD=/root
Tal vez eso ayude. He actualizado todo el software, reinicié el servidor, pero eso volvió a suceder. Además, no hay registros para el inicio de sesión ssh en access.log
.
Script Perl enlace
¿Alguien puede ayudar con el abuso en IP de OVH DC? El sitio web del delincuente funciona perfectamente.