[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[RiminiLUG-General] Intrusione su vps Aruba

To: riminilug-general@xxxxxxxxxxxx
Subject: [RiminiLUG-General] Intrusione su vps Aruba
From: Mauro Ferri <mauroferri@xxxxxxxxx>
Date: Wed, 11 Nov 2009 19:22:07 +0100
Authentication-results: dtc.neutrino1.xteklabs.com; dkim=pass header.i=@gmail.com; dkim=pass header.i=mauroferri@xxxxxxxxx
Delivered-to: battarsa@xxxxxxxxxxxx
Delivered-to: riminilug.it_riminilug_general@xxxxxxxxxxxxxxxxxxxxxxxxx
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=neutrino1.xteklabs.com; h= reply-to:mime-version:date:message-id:subject:from:to: content-type; s=postfix; bh=Y2oTLkyGTtFuvgwoCIhPrEJZd30=; b=B8ct 77pl92yn9hK3KgdLZhiv7He8kmEUazwRTHkMJixyiMeWP/u0ATPl05xecuF32Uc+ drH5mAPQ/FKLpUY2ivGIFrOja8+FtMZnrTAr+vWB1eR54bz7dsc0Ho3xk51ZByB+ o7Qf/x623tTtDsa9aJcvHlSjMvRSFh0kT0dFFqo=
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:date:message-id:subject :from:to:content-type; bh=CGtRtXmkWfdvinvSVbWrY6/tEDDbtw6+laMF22HzdIk=; b=Ccd2GO62jJkPu/CrEHMLPquSEEsiyJ76KbpXRcz8PZwh+kGcTg1GiQVcwYhMLYf5Q3 XSOR6OahqEZdXKH1rUNs1OHhuQlqDA3ark7j0W/Y58+ss21qpy+IiORSDdsklKgrwLSX h1TY9Qq2Qv5053STsbDMgKmPKSuM6cxSmaPcc=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:date:message-id:subject:from:to:content-type; b=QlChB1hE4585PXFNUKB506nS5UUvtMYYr/ITwtUIWScfyimrdN+zhPtnCIM2Del8uT Mxy7107ZLMQiwckN0i3cw3o8ThIGYY5kHncClhk9jMs1fsBBxzSIGX4vp+iUxr6DmiYC NV4V7DQb+TEogq1nWWV0Z0SQbt6lzlhR51ox8=
Reply-to: riminilug-general@xxxxxxxxxxxx

Spero che questo sia il posto giusto per postare questo tipo di richieste, in caso contrario me ne scuso in anticipo.

Qualche giorno fa mi sono accorto che il mio script per invio di newsletter installato su un dominio in un VPS Aruba (CentOS Linux myhost 2.6.9-023stab051.2-smp #1 SMP Thu Sep 24 22:32:27 MSD 2009 i686 i686 i386 GNU/Linux) non funzionava più (non invia più neanche una mail!)

Dopo una serie di test che mi sono stati suggeriti da un thread sul forum hostingtalk.it sono giunto alla conclusione che probabilmente il vps è stato violato.

Nel maillog ho trovato righe come queste:

Nov 11 04:08:27 62 qmail: 1257908907.282222 starting delivery 186182: msg 540386982 to remote ind4u@xxxxxxxxx
Nov 11 04:08:27 62 qmail: 1257908907.282236 status: local 0/10 remote 20/20
Nov 11 04:08:28 62 qmail: 1257908908.987889 delivery 186160: failure: Connected_to_85.21.23.15_but_sender_was_rejected./Remote_host_said:_553_sorry,_your_domain_does_not_ exists./
Nov 11 04:08:29 62 qmail: 1257908909.113187 status: local 0/10 remote 19/20
Nov 11 04:08:29 62 qmail: 1257908909.120134 starting delivery 186183: msg 540386984 to remote ingory@xxxxxxxxx
Nov 11 04:08:29 62 qmail: 1257908909.120153 status: local 0/10 remote 20/20
Nov 11 04:08:29 62 qmail: 1257908909.485054 delivery 186183: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Nov 11 04:08:29 62 qmail: 1257908909.485078 status: local 0/10 remote 19/20
Nov 11 04:08:29 62 qmail: 1257908909.485094 starting delivery 186184: msg 540386984 to remote elenazizi@xxxxxxxxx

Nel file smtp_pendings.log ho trovato righe come queste:

1257908882.866030 starting delivery 186154: msg 540386964 to remote naunadya@xxxxxxxxx
1257908894.997957 starting delivery 186168: msg 540386974 to remote fedra_x@xxxxxxxxx
1257908876.844811 starting delivery 186145: msg 540386958 to remote iroshka102@xxxxxxxxx
1257908870.824248 starting delivery 186143: msg 540386956 to remote grigr001@xxxxxxxxx
1257908883.046709 starting delivery 186155: msg 540386964 to remote nafanyasv@xxxxxxxxx
1257908870.824007 starting delivery 186142: msg 540386956 to remote konoff@xxxxxxxxx
1257908895.104615 starting delivery 186169: msg 540386974 to remote jobson.dap@xxxxxxxxx

Infine parte finale dell'output del comando ps aux | grep qmail è questo:

qmailr 13781 0.0 0.0 0 0 ? Z 16:50 0:00 [qmail-remote] <defunct>
qmailr 15924 0.0 0.0 0 0 ? Z 16:50 0:00 [qmail-remote] <defunct>
qmailr 16336 0.0 0.0 6204 4136 ? S 16:50 0:00 qmail-rspawn
qmails 3184 1.5 0.0 3520 2516 ? S 18:32 0:08 qmail-send
qmaill 3187 0.0 0.0 1456 452 ? S 18:32 0:00 splogger qmail
root 3190 0.0 0.0 1484 348 ? S 18:32 0:00 qmail-lspawn ./Maildir/
qmailr 3191 0.0 0.0 1616 536 ? S 18:32 0:00 qmail-rspawn
qmailq 3192 0.0 0.0 1448 328 ? S 18:32 0:00 qmail-clean
qmailr 1954 0.0 0.0 3424 984 ? S 18:41 0:00 qmail-remote yandex.ru anonymous@servervirtuale.aruba milashka888@xxxxxxxxx
qmailr 3086 0.0 0.0 3424 988 ? S 18:41 0:00 qmail-remote yandex.ru anonymous@servervirtuale.aruba ekv92@xxxxxxxxx

La domanda è molto semplice: cosa devo fare per ripristinare l'integrità del mio VPS prima di procedere al ripristino dell'ultimo backup (che spero 'sano') ?
Molte grazie in anticipo.
Help!!

Follow-Ups:
- Re: [RiminiLUG-General] Intrusione su vps Aruba
  - From: Christian Zoffoli
- Re: [RiminiLUG-General] Intrusione su vps Aruba
  - From: Christian Zoffoli
- Re: [RiminiLUG-General] Intrusione su vps Aruba
  - From: Daniele Palumbo

Prev by Date: [RiminiLUG-General] Donazione di materiale vario
Next by Date: [RiminiLUG-General] Proposte per Temi da approfondire per il RiminiLug
Previous by thread: [RiminiLUG-General] Donazione di materiale vario
Next by thread: Re: [RiminiLUG-General] Intrusione su vps Aruba
Index(es):
- Date
- Thread