تشخیص این حمله روی سرور و راه مقابله با آن

[taranehgoo]

سلام
مدتی هست که این حملات از طریق لاگ lfd مشاهده میشه:

کد:

Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30253 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:26 servername lfd[30328]: *User Processing* PID:30248 Kill:0 User:userhost VM:274(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:41:27 servername lfd[30328]: *User Processing* PID:30212 Kill:0 User:userhost VM:259(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"
Apr 23 19:44:26 servername lfd[31595]: *User Processing* PID:30429 Kill:0 User:userhost VM:258(MB) EXE:/usr/local/php53/bin/php-cgi53 CMD:/usr/local/php53/bin/php-cgi53 -d sendmail_path='/usr/sbin/sendmail -t -i -f userhost@userhost.com' -d sendmail_from=\"userhost@userhost.com\" -d mail.log=\"/home/userhost/.php/php-mail.log\"

خواهشن بگید چه نوع حمله ای هست و باید چیکار کنم؟

[T.Toosi]

باسلام، بد افزار ارسال ایمیل هست، اگر ایمیل استفاده نمیکنید متد sendmail را کلا ببندید.

[taranehgoo]

باسلام، بد افزار ارسال ایمیل هست، اگر ایمیل استفاده نمیکنید متد sendmail را کلا ببندید.

سلام
خیلی ممنون از پاسختون
هاست های روی سرور از ایمیل استفاده میکنن، پس نمیتونم این کار رو کنم.
آیا راه دیگه ای بنظرتون میرسه؟

[zartosht]

سلام
خیلی ممنون از پاسختون
هاست های روی سرور از ایمیل استفاده میکنن، پس نمیتونم این کار رو کنم.
آیا راه دیگه ای بنظرتون میرسه؟

محدودیت ارسال ایمیل ایجاد کنید و جهت رفع مشکلات ویروس ها و شل ها از

http://configserver.com/cp/cxs.html


استفاده کنید

[taranehgoo]

محدودیت ارسال ایمیل ایجاد کنید و جهت رفع مشکلات ویروس ها و شل ها از

http://configserver.com/cp/cxs.html


استفاده کنید

ممنون از پاسختون
آیا با ClamAV هم میشه این بدافزار رو حذف کرد و فعالیتش رو متوقف کرد؟

[zartosht]

ممنون از پاسختون
آیا با ClamAV هم میشه این بدافزار رو حذف کرد و فعالیتش رو متوقف کرد؟

به تنهای clamav فکر نکنم کافی باشه ،

تمامی شرکت های بزرگ هاستینگی که من میشناسم مثل ایران سرور نت افزار و ... از همین اسکنر که clamav رو تقویت میکنه استفاده میکنند

[taranehgoo]

به تنهای clamav فکر نکنم کافی باشه ،

تمامی شرکت های بزرگ هاستینگی که من میشناسم مثل ایران سرور نت افزار و ... از همین اسکنر که clamav رو تقویت میکنه استفاده میکنند

فعلا برام مقدور نیست بتونم cxs رو تهیه کنم.
متاسفانه calamav هم نمیتونه جلوی فعالیت بدافزار رو بگیره، البته چند مورد Heuristics.Phishing.Email.SpoofedDomain رو پیدا کرد اما همچنان داره همین لاگ هایی که تو پست اول گفتم رو نشون میده!
اگر راهی برای مقابله دارید، ممنون میشم بگید.

[aligoli]

کنترل پنل چیه مهندس ؟

[taranehgoo]

کنترل پنل چیه مهندس ؟

دایرکت ادمین

[taranehgoo]

همچنان منتظر راهکارهای شما هستم