Реанимация инфицированного спам-скриптом сервера
Originally published at ostretsov.ru. You can comment here or there.
Друг сообщил, что на его сервер поступила жалоба от aol.com, мол, шлет спам. Попросил разобраться.
AOL передал в своем сообщении письмо, которое ему пришлось не по духу. Вот его фрагмент:
To: redacted@aol.com
Subject: Re: Classy college teen fucking her teacher movies
X-PHP-Originating-Script: 33:include.php
From: “Shauna Stanley”
Reply-To: “Shauna Stanley”
Проверил логи (/var/log/mail.log) - действительно в логе безграничное число адресатов, которым он не мог посылать письма. Несчастные французы (fr) и американцы (com) :).
Первое что решил сделать - запретить рассылку.
Ограничиваю трафик с помощью iptables на все smtp-сервера (25 порт на удаленной машине):
iptables -A FORWARD -o eth0 -p tcp --dport 25 -j REJECT
Смотрю на счетчик срабатываний по этому новому правилу:
iptables -vL
Писем шлется порядочно. Счетчик за пару-тройку минут добрался до 1000. Кто-то облюбовал сервер. Не беда! Поехали, разбираться!
Первое что приходит в голову - злоумышленник залил что-то через web и периодически вызывает спам-скрипт (вероятнее всего include.php), обращаясь к нему через web-сервер. Смотрим в логи web-сервера:
grep include.php other_vhosts_access.log
Ответ содержит кучу вот этого:
80 82.126.70.249 - - [15/Jun/2013:19:08:31 +0400] "POST /wp-content/themes/delicate/images/logo/include.php HTTP/1.0" 200 265 "-" "Mozilla/5.0"
Обращения приходили с нескольких десятков разных IP-адресов. За все время было ~8500 обращений. Не так уж и много. Скрипт припас в коллекцию - поковыряю на досуге. WP, через который залили скрипт был старенький. Обновил.