Hola

hace unos dias note que mi servidor estaba lento hasta ayer me di a la tarea de ver que ocurria y descubri varios scripts php perl y que el queue de qmail tenia mas de 400 emails esperando ser enviados.
La verdad soy novato en linux mas o menos un usuario regular no un administrador por lo que he tenido problemas para deshacerme de esta peste espero me puedan ayudar y de paso aprender un poco de las tecnicas de algunos spammers.

( todos los archivos estan en el zip )

para empezar los scripts de php que aparecieron en el directorio raiz de mi sitio web me hacen pensar que se trata de un spammer , estos scripts son llamados continuamente desde el servidor 208.116.55.90 y 207.57.124.67 tal vez otros servidores hackeados.

despues encontre 2 archivos .pl en el directorio cgi-bin de mi sitio web (no los he estudiado no se lo que hagan) estos scripts .pl aparecían varias veces en la lista de procesos de mi server con owner "usuario1" el cual es mi usuario dueño de mis archivos web(en el zip puse mi lista de procesos excepto que mate estos procesos .pl por eso no aparecen pero aparecen otras cosas intersantes como "qmail.remote algunhost")

Tambien busque si existia algun cron job extraño en todos los usuarios pero no encontre nada.

Mis acciones hasta el momento fueron :
-matar todo proceso extraño
-eliminar los scripts .pl los .php
-borrar el queue de qmail y reiniciar el server
-deshabilitar el cgi y cgi-fast de mi server usando plesk

estas acciones solucionan temporalmente el problema pero mi server sigue siendo vulnerable a este ataque, aun tengo que revisar bien mi access_log y error_log de apache para identificar si lo que hicieron fue una inyeccion de codigo o darme una mejor idea de como realizaron el ataque.

Espero sus comentarios y sugerencias , seguire buscando en mi server y les avisare si encuentro algo mas..

Editado -- Mié Feb 02, 2011 11:30 am --

aun despues de habber eliminado los archivos y reiniciado el server se volvieron a ejecutar scripts .pl y el
proceso qmail.remote estaba conectado de nuevo a un server extraño.

cambie la contraseña de mi usuario1 en caso de que el atacante hubiera conseguido acceso ssh.

Y más adelante:



Dos posibilidades:

1) Ese usuario lo creó el atacante. Elimínalo.
2) Ese usario lo creaste tú. ¿Es un chiste? ¿y cuál es la contraseña? ¿123456?

Por empezar, hay que ver en qué lugar está el script que lanza los procesos. El lugar más obvio es rc.local. En cualquier caso, instala rkhunter y chkrootkit, dos scanners de rootkits que harán un chequeo completo del sistema.

todos esos procesos los mate desde que los vi , usuario1 en realidad tiene otro nombre pero para postearlo en este foro lo cambie para que fuera mas facil y es un usuario que yo creé, la contraseña se la cambie y no 12345 no es jeje.

en este momento estaba creando un script que me alerte de los procesos extraños asi que tambien intentare los scanners que mencionas, rc.local no lo he revisado lo hare en un momento.

Editado -- Jue Feb 03, 2011 11:19 am --

continuo con el problema ,
cada cierto tiempo aparecen procesos extraños del tipo "algunnombrealazar.pl" antes aparecian con el usuario1 como owner pero las ultimas veces aparecio con "apache" como usuario owner

rc.local esta limpio
genere un listado de los archivos modificados los ultimos 5 dias y no he logrado identificar binarios extraños
en este momento estoy actualizando todo usando el comando yum update

creo que se estan autogenerando estos scripts pero no he podido identificar que lo hace ,
como puedo saber quien o que esta ejecutando los procesos extraños ".pl" ?
ejecutando ps aux la ruta del comando aparece como
./citroen.pl o citroen.pl

revisa cualquier cosa que se ejecute sola....

/etc/rcX.d/ es el sistio de autoarranque (en la mayoria de las distros)

usa htop y dale a f5 para ver los procesos ordenados por arranque. puede que te de alguna pista.


PD: (imagino que) no es facil de manejar, pero SElinux es para estas cosas. lo digo por si ves que no encuentras nada, selinux te puede ayudar.

En mi caso es /etc/init.d/
no he tenido oportunidad de ver los procesos extraños de nuevo,
creo que la causa es que se me ocurrio hacer una actualizacion de todo (excepto kernel) usando yum
parece que esto resolvio el problema pero de paso heche a perder mi instalacion plesk ya que yum me pedia remover un modulo perl el cual removio dependencias de plesk

Estare al pendiente de si el problema persiste aunque ya paso un dia sin actividad sospechosa , en caso de que regrese utilizare mi ultima carta que es realizar un backup de mis archivos y bases de datos formatear y reainstalar (este servicio me lo ofrece mi proveedor mediatemple).

de cualquier forma he conseguido mantener funcional mi sitio web y servidor de correos usando un script que detecta el tamaño del queue y me alerta cuando es exageradamente grande.

gracias por la ayuda espero no necesitar realizar otro post

¿Compraste Plesk o te lo bajaste de alguna fuente dudosa?

Mi server lo contrate en mediatemple , viene con plesk instalado con licencia de uso.

Revisa el Plesk que te lo pudieron haber roto. Hace un tiempo, se publico un exploit bastante violento para vulnerarlo. Si encuentro la noticia te la paso. Igual en las ultimas versiones, este exploit no funciona mas, así que revisa la versión que tengas instalada.

Una recomendación, si podes evitar el uso de Plesk o similares, es un golaso. El año pasado me tiraron de culo un servidor por una vulnerabilidad en Webmin. Desde ahí, trato con más énfasis, de convencer a los clientes de no usar nada de eso en los servidores dedicados que contraten. Aunque se hace dificil, ya que aunque no sepan, quieren tener acceso a la configuración... bomba de tiempo si las hay.

Igualmente, te pudieron haber entrado por otro lado, por ejemplo, spamasassin tuvo un bug que permitía ejecutar comandos como root via telnet. Hay que prestar mucha atención a las actualizaciones de seguridad que vallan saliendo.

sip la verdad se me ocurren muchos paquetes con vulnerabilidades en mi server y en general en cualquier server (solo visitando una pagina de listas de xploits uno puede darse la idea), uno de mis primeros impulsos al ver que estaba siendo atacado fue vigilar los logins hechos usando el comando "last" y "who"
pero no encontre otros logins excepto los mios.

tengo que confesar que me agrado la experiencia , como realize un backup antes de actualizar todo mi server seguramente podre estudiar a detalle como hicieron el ataque , mi sospecha es que fue una vulnerabilidad en apache o el server ftp porque inicialmente todos los archivos extraños estaban en carpetas relacionadas al servidor web y estos archivos tenian como owner el usuario de mi website principal (el usuario que uso para el ftp) lo extraño fue que al final lograban usar el usuario "apache".