форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от Philip on 22-Июл-02, 21:46  (MSK)
Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате запустили программу от имени nobody (хозяин apache), которая называется .a и лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких серверов одновременно!) Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос, как прекратить запросы к нему - за входящий трафик денежка платится... Филипп
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от amber46 on 23-Июл-02, 02:53  (MSK)
>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате >запустили программу от имени nobody (хозяин apache), которая называется .a и >лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик >к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких >серверов одновременно!) > >Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос, >как прекратить запросы к нему - за входящий трафик денежка платится... > > >Филипп проапдейтиться до весрии 1.3.26
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
	Сообщение от Mikka on 24-Июл-02, 09:50  (MSK)
	Прекратить - ставим фильтр на border gw на 2001 порт. Тогда все будет кончатся на нем, останутся только TCP-SYN запросы до этого gw
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: вскрыли Apache, запустили /tmp/.a - что делать"
Сообщение от Romanius on 28-Ноя-02, 16:57  (MSK)
>Коллеги, помогите советом. Вскрыли Apache 1.3.20. Как - не знаю. В результате >запустили программу от имени nobody (хозяин apache), которая называется .a и >лежит в /tmp/ Это какой-то троян, т.к. trafshow показывает немерянный трафик >к машине на порт 2001 (т.е. десятки одновременных обращений с нескольких >серверов одновременно!) > >Кто знает, как с этим бороться? Да, трояна, я, конечно, убил. Вопрос, >как прекратить запросы к нему - за входящий трафик денежка платится... > > >Филипп Хм. Знакомая ситуация. Хотя неактуально но все же. 1. Значит подобная эпидемия бродит по миру и по сей день. Собственно поток на 2001 (wizard) порт сыпется издалека и из многих мест (в моем случае было задействовано около 30000 узлов). Решение простое, связаться с апстрим-провайдером что-бы перекрыли еще на подходе к тебе этот поток. 2. По поводу дыр в апаче, отдельный разговор. Собственно подобный баг был выловлен давно и о нем писали в баг-репортах самого апача. Собственно надо апдейтить и еще пару телодвижений сделать.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.