Se acaba de caer nuestro servidor, y no sabiamos porque se producia esto. Hemos estado mirando lo logs del sistema y los procesos que estaban corriendo, y nos hemos encontrado unos procesos que estaban comiendose toda la memoria. Este proceso era dm.cgi
Hemos visto que habian subido un cgi a nuestro servidor para realizar spam desde nuestro server.
Para solucionarlo:
1.- Borrar del directorio cgi-bin del dominio atacado todos los ficheros .
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:00 log
-rw-r–r– 1 xxx psacln 1456 Jun 17 12:00 config.txt
-rwxr-xr-x 1 xxx psacln 74405 Jun 17 12:00 dm.cgi
-rw-r–r– 1 xxx psacln 172 Jun 17 12:00 fff.html
-rw-r–r– 1 xxx psacln 568 Jun 17 12:00 from.txt
-rw-r–r– 1 xxx psacln 8 Jun 17 12:00 letter.txt
-rw-r–r– 1 xxx psacln 0 Jun 17 12:00 macros1.txt
-rw-r–r– 1 xxx psacln 570 Jun 17 12:00 replyto.txt
-rw-r–r– 1 xxx psacln 17 Jun 17 12:00 subject.txt
-rw-r–r– 1 xxx psacln 2450181 Jun 17 12:08 mailbase.txt
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:45 sys
2.- Suprimir la ejecución de cgi en ese dominio (Nosotros lo hemos desactivado a traves del panel de control de Plesk)
3.- Cambiar y fortalecer las contraseñas del usuario de ftp del dominio atacado.
Estimado, el problema es con el script dm (D1neroMa1l).cgi, he tenido el mismo inconveniente en servidores que administro y todo comienza con las publicidades de m3rc4d0l1br3.
Saludos
La forma de entrar en cada servidor es diferente … en el que yo administro entraron por fuerza bruta en el ftp.
Si teneis diferentes formas por las que os ha entrado este cgi, decirmelo para actualizar este post y que nos sirva a todos para mejorar.
A mí me la acaban de meter doblada, creo que por FTP, pero estoy esperando a que me lo confirmen los del servidor. ¿Es posible que el tipejo este haya borrado los logs del dominio y/o los haya inutilizado?
todo es posible una vez qeu te han atacado … aunque con este tipo de ataque sql injection introducen contenido en tu base de datos … pero si han hecho esto .. pueden haber entrado en tu maquina .. y si lo han hecho .. .lo primero que hacen es borrar rastros 🙁
Hola David, yo publiqué este artículo en mi blog donde hice mención a este artículo porque me pasó algo parecido. Os pongo el link por ai es de ayuda a alguien que le haya pasado lo mismo.
http://awebocabron.blogspot.com.es/2011/11/mi-servidor-envia-spam-cronica-de-un.html