1 Тема от Serzh

  • Serzh
  • Посетитель
  • Неактивен
  • Зарегистрирован: 05.03.2015
  • Сообщений: 4
  • Репутация : [ 0 | 0 ]

Товарищи, помогите разобраться. Ситуация: после установки CentOS и сверху Postfix началась байда. Вешается ADSL модем, через который идет инет. Как только отключаю сервер с centos, модем сразу воскрешается. Сетевой монитор показывает 100%  загрузку сети по исходящему направлению. Tcpdump показывает постоянную отправку пакетов на адрес 124.228.91.84 порт 7041. Какой-то китайский сервер вроде. Чего вдруг мы туда ломимся?

2 Ответ от Vascom

  • Vascom
  • Vascom
  • Пользователь
  • Неактивен
  • Откуда: Moscow
  • Зарегистрирован: 02.04.2010
  • Сообщений: 4,535
  • Репутация : [ 189 | 2 ]

Может ты вирус себе установил или неправильно настроил Postfix?

Сайт Vascom

3 Ответ от Serzh (05.03.2015 10:25:33 отредактировано Serzh)

  • Serzh
  • Посетитель
  • Неактивен
  • Зарегистрирован: 05.03.2015
  • Сообщений: 4
  • Репутация : [ 0 | 0 ]

Postfix работает корректно вроде, письма идут. Насчет вируса... не знаю. Поставить или просто может закрыть этот адрес фаерволом?
Кстати, это уже вторая моя попытка установить эту систему. Результат первой был такой же. Правда в первый раз ставил centos 6.5, а сейчас 7.
Опыта с линуксом мало у меня пока. Вот застрял на таком затыке.

4 Ответ от Vascom

  • Vascom
  • Vascom
  • Пользователь
  • Неактивен
  • Откуда: Moscow
  • Зарегистрирован: 02.04.2010
  • Сообщений: 4,535
  • Репутация : [ 189 | 2 ]

Смотри кто шлёт запросы на этот адрес и порт.
Я перенесу тему в раздел сетевых проблем.

Сайт Vascom

5 Ответ от Serzh

  • Serzh
  • Посетитель
  • Неактивен
  • Зарегистрирован: 05.03.2015
  • Сообщений: 4
  • Репутация : [ 0 | 0 ]

Установил ClamAV, он поймал backdoor в /root/.b. Вроде пока все на этом и закончилось.

6 Ответ от Vascom

  • Vascom
  • Vascom
  • Пользователь
  • Неактивен
  • Откуда: Moscow
  • Зарегистрирован: 02.04.2010
  • Сообщений: 4,535
  • Репутация : [ 189 | 2 ]

Как же ты его подцепил?

Сайт Vascom

7 Ответ от Serzh

  • Serzh
  • Посетитель
  • Неактивен
  • Зарегистрирован: 05.03.2015
  • Сообщений: 4
  • Репутация : [ 0 | 0 ]

не знаю. Вообще думал, что в линуксе вирусы редки, видимо ошибся.

8 Ответ от Vascom

  • Vascom
  • Vascom
  • Пользователь
  • Неактивен
  • Откуда: Moscow
  • Зарегистрирован: 02.04.2010
  • Сообщений: 4,535
  • Репутация : [ 189 | 2 ]

Редки. Это ты сам занёс. Небось нашёл хаутушечку по установке чего-нибудь, поставил пару программ не из репозиториев (может даже из исходников) и с её помощью вирус поставил себе.

Сайт Vascom

9 Ответ от yars

  • yars
  • yars
  • Slacker
  • Неактивен
  • Откуда: Тамбовская область
  • Зарегистрирован: 23.03.2012
  • Сообщений: 9,959
  • Репутация : [ 309 | 1 ]

Дома -- да, редки. На серверах -- увы, не всегда. Защититься можно -- нужно использовать пакеты свежайших версий, либо пакеты с бэкпортами; не открывать рутовый доступ всем кому не лень, проверять ЭЦП пакетов и их файлов. Кроме того, регулярно проверять систему антируткитами, например, rk-hunter. Более эффективные меры - нужно закрывать порты в iptables, переводить, к примеру, SSH на нестандартный порт, использовать fail2ban. Это еще не все, но самое главное - держать голову в активном режиме.

Истинный hotplug - это обычная электрическая розетка: воткнул - работает, и никаких драйверов.
Slackware64-current/Xfce/Lenovo G580