Debianハック警告

おそらく私だけでなく、ハッキングされました。 Debianに似たシステムを管理している人は注意を払ってください。



それはすべて、私のサーバーがスペースを使い果たしたことを伝えるメールで始まりました。 すべて1.5Tb。 私に何が起こったのか、何が非常に多くのエントリでmail.log＆etcファイルを正確に埋めたのかを理解しようとしていたときに、MTAからのメッセージが電話に届き始め、受信メールを受信できなくなりました。 その後、私のサーバーがスパムメールに関与しているという手紙が届きました。 私は通常店にいて、手に持っているのは電話だけだったので、やることは次のとおりでした。



古いジョンを設定：



aptitude install john



パスワードの単純な列挙を設定します。

john / etc / shadow



怖い！ 彼は私にsp4mパスワードを持つスパムユーザーがあることを明かしました



さらに何をしたかは明らかです

passwd -l spam

grep SASL /var/log/mail.log

6月12日16:26:15 gw postfix / smtpd [26608]：警告：不明[41.138.185.5]：SASLログイン認証失敗：認証失敗



アドレス41.138.185.5を引き出し、iptablesでブロックしました



その後、 aptitudeの更新を更新しました。 squeezeへの適性の完全なアップグレード 。



今、私は座って、誰がこの感染にかかったのか考えていますか？ ユーザーを追加するには完全なルートアクセスでした。 また、/ etc / passwdファイルの日付から判断すると、2010年6月8日、つまり、スパム送信のほぼ1週間前でした。 remote-root-vulnerablilty、なぞなぞに関する通知を受信しませんでした。それだけです。