Добрый день.
Обнаружил, что мне влозмали веб сервер. Во всех папках сайтов был залит php shell. Все поудалял. Пароли поменял. Пришло письмо от хостера, что исходящий трафик с 25 порта очень большой.
Порт закрыл через iptables drop
Вижу через tcpdump, что ко мне на 25 порт стучатся.
REMOTE-IP.46982 > MY-IP.25: Flags [S], cksum 0x64ce (correct), seq 1466937717, win 29200, options [mss 1460,sackOK,TS val 31786496 ecr 0,nop,wscale 7], length 0
10:37:28.771006 IP (tos 0x0, ttl 53, id 42742, offset 0, flags [DF], proto TCP (6), length 60)
10:37:28.771006 IP (tos 0x0, ttl 53, id 42742, offset 0, flags [DF], proto TCP (6), length 60)
REMOTE-IP.52500 > MY-IP.25: Flags [S], cksum 0x0c1c (correct), seq 425769021, win 29200, options [mss 1460,sackOK,TS val 319258112 ecr 0,nop,wscale 6], length 0
я правильно понимаю, что просто вижу входящий трафик, далее он уже дропается фаерволом? Байтики растут на правиле в iptables
630 37136 DROP 6 — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
Стоит ли переустановить сервер? или доступ к самой впс не получили? Как-то может можно просканировать чем-то?
Linux.org.ru: Форум – Security
Ваша реакция?
+1
+1
+1
+1
+1
+1
+1