Вероятно, взломали не только меня. Кто администрирует Debian-like системы, обратите внимание.
Все началось с писем с того, что у меня на сервере кончилось место. Все 1.5Тб. Пока я пытался понять, что такое у меня произошло и что именно наполнило мои файлы mail.log & etc таким количеством записей на телефон стали приходить сообщения от моего MTA, что стало невозможно принимать входящую почту. Затем пришло письмо о том, что мой сервер участвует в спам рассылке. Поскольку я находился вообще в магазине, и у меня в руках был только телефон, то все, что я успел сделать это было:
Установить старину Джона:
aptitude install john
Натравить простой перебор паролей:
john /etc/shadow
О ужас! Он выдал, что у меня есть пользователь spam с паролем sp4m
понятно, что далее я сделал
passwd -l spam
grep SASL /var/log/mail.log
Jun 12 16:26:15 gw postfix/smtpd[26608]: warning: unknown[41.138.185.5]: SASL LOGIN authentication failed: authentication failure
Вытащил оттуда адрес: 41.138.185.5и заблокировал его при помощи iptables
Потом я обновил aptitude update; aptitude full-upgrade до squeeze.
А вот теперь я сижу и думаю, кто мне подсадил эту заразу? Это ведь был полный root-доступ, чтобы добавить пользователя. Причем, судя по-дате файла /etc/passwd это было 8 июня 2010 года, то есть почти за неделю до рассылки спама. Никаких уведомлений о remote-root-vulnerablilty я не получал, загадка, да и только.
Все началось с писем с того, что у меня на сервере кончилось место. Все 1.5Тб. Пока я пытался понять, что такое у меня произошло и что именно наполнило мои файлы mail.log & etc таким количеством записей на телефон стали приходить сообщения от моего MTA, что стало невозможно принимать входящую почту. Затем пришло письмо о том, что мой сервер участвует в спам рассылке. Поскольку я находился вообще в магазине, и у меня в руках был только телефон, то все, что я успел сделать это было:
Установить старину Джона:
aptitude install john
Натравить простой перебор паролей:
john /etc/shadow
О ужас! Он выдал, что у меня есть пользователь spam с паролем sp4m
понятно, что далее я сделал
passwd -l spam
grep SASL /var/log/mail.log
Jun 12 16:26:15 gw postfix/smtpd[26608]: warning: unknown[41.138.185.5]: SASL LOGIN authentication failed: authentication failure
Вытащил оттуда адрес: 41.138.185.5и заблокировал его при помощи iptables
Потом я обновил aptitude update; aptitude full-upgrade до squeeze.
А вот теперь я сижу и думаю, кто мне подсадил эту заразу? Это ведь был полный root-доступ, чтобы добавить пользователя. Причем, судя по-дате файла /etc/passwd это было 8 июня 2010 года, то есть почти за неделю до рассылки спама. Никаких уведомлений о remote-root-vulnerablilty я не получал, загадка, да и только.
