Категория: GNU/Linux, Security


Вероятно, взломали не только меня. Кто администрирует Debian-like системы, обратите внимание.

Все началось с писем с того, что у меня на сервере кончилось место. Все 1.5Тб. Пока я пытался понять, что такое у меня произошло и что именно наполнило мои файлы mail.log & etc таким количеством записей на телефон стали приходить сообщения от моего MTA, что стало невозможно принимать входящую почту. Затем пришло письмо о том, что мой сервер участвует в спам рассылке. Поскольку я находился вообще в магазине, и у меня в руках был только телефон, то все, что я успел сделать это было:


Установить старину Джона:

aptitude install john

Натравить простой перебор паролей:
john /etc/shadow

О ужас! Он выдал, что у меня есть пользователь spam с паролем sp4m

понятно, что далее я сделал
passwd -l spam
grep SASL /var/log/mail.log
Jun 12 16:26:15 gw postfix/smtpd[26608]: warning: unknown[41.138.185.5]: SASL LOGIN authentication failed: authentication failure

Вытащил оттуда адрес: 41.138.185.5и заблокировал его при помощи iptables

Потом я обновил aptitude update; aptitude full-upgrade до squeeze.

А вот теперь я сижу и думаю, кто мне подсадил эту заразу? Это ведь был полный root-доступ, чтобы добавить пользователя. Причем, судя по-дате файла /etc/passwd это было 8 июня 2010 года, то есть почти за неделю до рассылки спама. Никаких уведомлений о remote-root-vulnerablilty я не получал, загадка, да и только.

Источник