Se acaba de caer nuestro servidor, y no sabiamos porque se producia esto. Hemos estado mirando lo logs del sistema y los procesos que estaban corriendo, y nos hemos encontrado unos procesos que estaban comiendose toda la memoria. Este proceso era dm.cgi
Hemos visto que habian subido un cgi a nuestro servidor para realizar spam desde nuestro server.
Para solucionarlo:
1.- Borrar del directorio cgi-bin del dominio atacado todos los ficheros .
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:00 log
-rw-r–r– 1 xxx psacln 1456 Jun 17 12:00 config.txt
-rwxr-xr-x 1 xxx psacln 74405 Jun 17 12:00 dm.cgi
-rw-r–r– 1 xxx psacln 172 Jun 17 12:00 fff.html
-rw-r–r– 1 xxx psacln 568 Jun 17 12:00 from.txt
-rw-r–r– 1 xxx psacln 8 Jun 17 12:00 letter.txt
-rw-r–r– 1 xxx psacln 0 Jun 17 12:00 macros1.txt
-rw-r–r– 1 xxx psacln 570 Jun 17 12:00 replyto.txt
-rw-r–r– 1 xxx psacln 17 Jun 17 12:00 subject.txt
-rw-r–r– 1 xxx psacln 2450181 Jun 17 12:08 mailbase.txt
drwxrwxrwx 2 xxx psacln 1024 Jun 17 12:45 sys
2.- Suprimir la ejecución de cgi en ese dominio (Nosotros lo hemos desactivado a traves del panel de control de Plesk)
3.- Cambiar y fortalecer las contraseñas del usuario de ftp del dominio atacado.