FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.LINUX.CHAINIK
Присутствуют сообщения из эхоконференции RU.LINUX.CHAINIK с датами от 15 Jul 13 07:24:14 до 15 Jun 24 17:28:42, всего сообщений: 3153
= Сообщение: 679 из 3153 ================================== RU.LINUX.CHAINIK = От : Alexey Vissarionov 2:5020/545 29 Dec 14 10:12:02 Кому : Oleg Redut 29 Dec 14 10:12:02 Тема : Ж-( FGHI : area://RU.LINUX.CHAINIK?msgid=2:5020/545+54a0fec6 На : area://RU.LINUX.CHAINIK?msgid=2:5000/111+54a0f06b = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX.CHAINIK?msgid=2:5000/111+54a12037 Ответ: area://RU.LINUX.CHAINIK?msgid=2:5020/2140.2555+54a167b7 ============================================================================== Доброго времени суток, Oleg! 29 Dec 2014 12:06:10, ты -> All:
OR> Сервер на Alt-Linux, где поднят httpd2
Как он настроен и что там работает?
OR> и ftp,
Надеюсь, там разрешен только анонимный доступ?
OR> внезапно стал грузить роутер исходящими сессиями, доходит до 650+.
Добро пожаловать в ботнет.
OR> Автообновление отключено.
Кстати, зря. Рекомендую регулярно обновляться хотя бы вручную.
OR> Какой-то инфекции на web-страничках не обнаружил.
С вероятностью 99% - плохо искал.
OR> Чекм можно посмотреть, кто плодит сессии?
gremlin@evil:~ > rpm -qf `which trafshow` trafshow-5.2.3-alt2
OR> Инет подсказывает netstat - такого в /bin не обнаружил.
gremlin@evil:~ > rpm -qf `which netstat` net-tools-1.60-alt18
Хорош тем, что показывает не только соединения, но и их владельцев (процессы).
OR> Остальное показывает только порты, но не сессии.
Остальное - это что?
Ну и самый главный вопрос: а какого рожна у тебя пользователю, под которым работает сайт, разрешены исходящие соединения?
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
... Сервер под Windows - как Запорожец представительского класса --- /bin/vi * Origin: http://openwall.com/Owl/ru (2:5020/545) |
К главной странице гейта
|