VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Вирус создает call файлы

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

akmonk
Сообщения: 8
Зарегистрирован: 03 июл 2011, 14:19

Re: Вирус создает call файлы

Сообщение akmonk »

В общем за день ничего подозрительного не произошло, я не перезагружал сервер в рабочее время. Сейчас перезагрузил, буду внимательно следить за логами.
Из каталога крона я удалил запись следующего содержания: 12 * * * * root chown root.root /tmp/sh; chmod u+s /tmp/sh. В каталоге /tmp ничего подозрительного нет. У этого файла крона владелец был apache и к тому же дата у файла была 4 марта. У меня еще попутный вопрос, может ли вирус подменять дату изменения файла?
Проверил конфиги Asterisk'a с сохраненными - никаких изменений нет. Проверил список автозагрузки, никаких подозрительных файлов нет, проверил даты изменения файлов - тоже в норме. Поставил rkhunter, настроил, теперь будет проверять изменения в файлах, но это скорее на будущее, учитывая, что трояна я еще не нашел.
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Вирус создает call файлы

Сообщение ded »

Если у этого файла крона владелец был apache, то скрипт /tmp/sh создавался через вэб, типа РНР-inject, и конечно ему после создания надо повысить полномочия до
root chown root.root /tmp/sh chmod u+s /tmp/sh
akmonk
Сообщения: 8
Зарегистрирован: 03 июл 2011, 14:19

Re: Вирус создает call файлы

Сообщение akmonk »

Еще вопрос на счет изменения папки outgoing. Как я понимаю чтобы изменить местоположение папки spool, нужно создать файл (т.к. сейчас у меня его нет) /etc/asterisk/asterisk.conf и вписать
[directories]
astspooldir => /var/spool_new/asterisk
Соответственно изменится и местоположение папки outgoing. А отдельно есть константа чтобы переназначить только папку outgoing?
tma
Сообщения: 1809
Зарегистрирован: 18 сен 2010, 20:50
Контактная информация:

Re: Вирус создает call файлы

Сообщение tma »

akmonk писал(а): Из каталога крона я удалил запись следующего содержания: 12 * * * * root chown root.root /tmp/sh; chmod u+s /tmp/sh.
Можно создать отдельную файловую систему /tmp и монтировать ее с noexec.
Правда кривые программы могут отвалиться (вроде этим mc страдал раньше).
Хотя данный вариант тоже обходится. Еще можно наложить специальные патчи на ядро из Owl -- они как раз с этим примитивным и самым распространенным вариантом борются.
Имя файла cron'а какое было?
SkyTel OU - облачная АТС, DID, SIP-транк с посекундной тарификаицей, мобильная связь
http://skytel24.com | Эстония: +372.333.55.10 | Россия: +7(495)4019900
akmonk
Сообщения: 8
Зарегистрирован: 03 июл 2011, 14:19

Re: Вирус создает call файлы

Сообщение akmonk »

tma писал(а):Имя файла cron'а какое было?
"updatedb"
я думаю это осталось с прошлого нашествия когда трой залез через уязвимость в phpmyadmin, тогда сам вирус я удалил, pma переименовал, и запрятал поглубже. Он тогда как раз орудовал из /tmp. Создал кучу вложенных каталогов с именем " ". Крон я тоже чистил, но видимо не везде.
tma
Сообщения: 1809
Зарегистрирован: 18 сен 2010, 20:50
Контактная информация:

Re: Вирус создает call файлы

Сообщение tma »

Вопрос -- каким образом phpmyadmin смог создать файл в /var/spool/cron не имея root'овых привилегий?
Какие у Вас права на /var/spool/cron?
Конечно к данному делу это не относится, но похоже, что у Вас сервер -- одна большая дырка...
SkyTel OU - облачная АТС, DID, SIP-транк с посекундной тарификаицей, мобильная связь
http://skytel24.com | Эстония: +372.333.55.10 | Россия: +7(495)4019900
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH