Spam desde un servidor con dm.cgi

junio 17, 2008 12:22 pm / 5 Comments /

Se acaba de caer nuestro servidor, y no sabiamos porque se producia esto. Hemos estado mirando lo logs del sistema y los procesos que estaban corriendo, y nos hemos encontrado unos procesos que estaban comiendose toda la memoria. Este proceso era dm.cgi

Hemos visto que habian subido un cgi a nuestro servidor para realizar spam desde nuestro server.

Para solucionarlo:

1.- Borrar del directorio cgi-bin del dominio atacado todos los ficheros .
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:00 log
-rw-r–r– 1 xxx psacln 1456 Jun 17 12:00 config.txt
-rwxr-xr-x 1 xxx psacln 74405 Jun 17 12:00 dm.cgi
-rw-r–r– 1 xxx psacln 172 Jun 17 12:00 fff.html
-rw-r–r– 1 xxx psacln 568 Jun 17 12:00 from.txt
-rw-r–r– 1 xxx psacln 8 Jun 17 12:00 letter.txt
-rw-r–r– 1 xxx psacln 0 Jun 17 12:00 macros1.txt
-rw-r–r– 1 xxx psacln 570 Jun 17 12:00 replyto.txt
-rw-r–r– 1 xxx psacln 17 Jun 17 12:00 subject.txt
-rw-r–r– 1 xxx psacln 2450181 Jun 17 12:08 mailbase.txt
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:45 sys
2.- Suprimir la ejecución de cgi en ese dominio (Nosotros lo hemos desactivado a traves del panel de control de Plesk)

3.- Cambiar y fortalecer las contraseñas del usuario de ftp del dominio atacado.

Posts relacionados

Posted in: Internet, Seguridad / Tagged: ,

5 Thoughts on “Spam desde un servidor con dm.cgi

  1. Alejandro Von Overath on octubre 28, 2008 at 3:24 am said:

    Estimado, el problema es con el script dm (D1neroMa1l).cgi, he tenido el mismo inconveniente en servidores que administro y todo comienza con las publicidades de m3rc4d0l1br3.

    Saludos

  2. David Rodriguez on octubre 28, 2008 at 12:47 pm said:

    La forma de entrar en cada servidor es diferente … en el que yo administro entraron por fuerza bruta en el ftp.
    Si teneis diferentes formas por las que os ha entrado este cgi, decirmelo para actualizar este post y que nos sirva a todos para mejorar.

  3. Chupameldiente on noviembre 4, 2011 at 9:52 pm said:

    A mí me la acaban de meter doblada, creo que por FTP, pero estoy esperando a que me lo confirmen los del servidor. ¿Es posible que el tipejo este haya borrado los logs del dominio y/o los haya inutilizado?

  4. David Rodriguez on noviembre 14, 2011 at 3:23 pm said:

    todo es posible una vez qeu te han atacado … aunque con este tipo de ataque sql injection introducen contenido en tu base de datos … pero si han hecho esto .. pueden haber entrado en tu maquina .. y si lo han hecho .. .lo primero que hacen es borrar rastros 🙁

  5. aWebo on marzo 24, 2012 at 10:12 am said:

    Hola David, yo publiqué este artículo en mi blog donde hice mención a este artículo porque me pasó algo parecido. Os pongo el link por ai es de ayuda a alguien que le haya pasado lo mismo.
    http://awebocabron.blogspot.com.es/2011/11/mi-servidor-envia-spam-cronica-de-un.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Post Navigation