Сегодня, на email службы поддержки пришло письмо, цитирую содержание.

От dmitriyspb@xxxxxx.ru
Здравствуйте. Я с проекта хост ДБ и хотел бы получить у вас хостинг для сайта детей инвалидов.
С уважением ххххххххххх

Хостинг конечно тут же предоставили. Спустя 40 минут на сервер где был создан аккаунт, страшно возросла нагрузка. Шел -> top и что Вы думаете, я вижу? Скрипт dark.cgi
Заходу в аккаунт, директория public_html по дефолту, но вот папочка cgi_bin напичкана файлами типа, basespam.txt mail.txt yandex.txt и gmail.txt. Посмотрели скрипты, спам ботнет.
Аккаунт конечно удалили, а благотворитель так и не обратился.

Хм, знакомый скрипт, вырезка из лога:



Ну, а это мы заблокировали


Только в данному случае было обычное хищение ftp-пароля у клиента

Стандартные уловки спамеров и иже с ними дол... нехороших людей. Давят на жалость и состродание, это не может не вызывать еще большего призрения к таким уродам...
Что могу сказать по конкретно этому случаю. Я общался и с детьми-инвалидами, просто сиротами и с теми, кто работают в таких учреждениях и я знаю, что они просить не станут в большинстве своём. А если и будут просить, то укажут, что за учреждение, где находится и т.к. То есть, по содержанию информации можно определить, мошенник это или нет.

У меня лично дети жалость не вызывают. Почему? Потому, что жалеть надо не инвалидов, не сирот и вообще никого жалеть не нужно. Жалось всегда унизительна по отношению к тому, к кому она проявляется. Когда мы станем ставить на равных себе инвалидов, сирот и т.д., тогда мы сможем реально им помочь. Равенство отождествляет нашу солидарность.

Так что мне жалко тех, кто делает такие низкие поступки, прикрываясь детьми. Я не хочу ненавидить, ненависть разлогает, а вот пожалеть и знать, что ты выше этого будет мудрее.

Есть три известных мне способа защиты от такого скрпта на автомате, он даже не стартует

Ну так поделитесь, наверняка кому-нибудь полезным будет инфа.

Один из них наверное отключить cgi, второй поставить noexec, третий файрвол на предмет отправителя на 25 порт. Угадал? или что-то еще есть.

Такие вопросы решать просто нужно, не по e-mail, icq и т.д. А по телефону. Тогда и проблем такого рода не станет

Да CGI по умолчанию отключать да и все, для новых аккаунтов. Прямо из панели.
Проще паренной репы

1) Отключить perl для запуска апачем
2) Поставить и настроить mod_security
3) Настроить ftp сервер на отказ заливки dm.cgi и прочей ерунды

mod_security вы имеет ввиду на предмет проверки имени? или же глубже?
если имени, то их же менять могут

Как-то совсем радикально.. А если честному клиенту будет нужен pl-скрипт?

Позволю не согласится, т.к. имел дело не с одной такой спам/дос машиной:


1. И объяснять n-сотням юзеров, что их любимые cgi скрипты больше работать не будут
2. Если имеется в виду noexec в монтировании ФС - не поможет, т.к. элементарно обходится даже в /tmp разделе
3. Скрипт шлет через sendmail, а не напрямую.



1. Обходится запуском из Cron'а
2. См. п.1 оно даже не будет запускаться
3. Этот вид спам-бота загружали в виде случайно генерируемых имен с разными расширениями, например .pl


Далеко не в каждой панели это делается, да и решать путем такой радикальной кастрации имхо не выход.

Кому надо, после обоснования подключим, будут проблемы, проверим.

Разве? На то он и Direct Mail, что отправляет напрямую.
Отправку через Sendmail можно лимитировать поюзерно в виде "писем/час"

Согласитесь - для злоумышленника это уже сложнее. Надо не просто подключиться по ftp и нагадить, а еще перебрать панели, зайти к ним и через api поставить cron-задачу. 99% такого не сделают.

Оно может и так и эдак, отправка писем через MTA лимитирована, но отсылать спам в мелких количествах все равно позволяет. Например за то время (см. вырезку из лога ~48мин) IP сервака уже "залетел" в несколько популярных RBL списков.


Не совсем, т.к. я видел все это в живую и могу точно утверждать что это были боты, а не человек. Более того затраты по времени только в начале - на разработку алгоритма обхода, далее все так же. Да, кстати делается это не через api панельки, а через тот же cgi и запуск crontab, а его блокировать никак нельзя, т.к. через неё собственно работает сама панель

Можно добавить рандомно любой другой способ защиты. На одном сервере - одна комбинация, на другом - другая. В итоге написание "универсального" скрипта будет куда сложнее, чем банально спам с другого хостера - а нас это уже мало беспокоит

Еще как вариант - скрипт, который будет мониторить ps (на предмет имен файлов из блеклиста), фтп (на тот же предмет), логи почтовика и очередь. Или даже все это вместе. И оперативно выносить спам-процессы и банить спамеров. Но это как-то проктологически получилось.

Тогда ему perl в $HOME/bin с его правами + suexec + 700 права

Отсев по имени - не вариант. Название элементарно меняется. noexec на home что-ли? Не встречал такого:). Отключать совсем perl, ну зачем так жестоко. Самый грамотный и безобидный способ решения проблемы dm такой. При создании пользователей пихать в одну группу, для которой на фаерволе закрывается доступ к порту. Защищает от работы dm и им подобных из шелла и крона. Чтобы закрыть доступ отправки из скриптов, запущенных из apache - работаем с ugidfw и теми же запретами для группы (применимо только если скрипты работают от пользователя). При запросе на открытие "sendmail" пользователь переводится в другую группу и все ограничения для него автоматически снимаются. Отправка по smtp-авторизации не страдает, т.е. если пользователю ничего не надо отправлять с сайта (или спамить), а только использовать почту, то он может все время сидеть без включенного sendmail. Практика показала, что очень малый процент обращается за включением sendmail, так как не все держат форумы, гостевые или формы обратной связи... Получается, что безопасно и тем, что если аккаунт взломают, то не смогут ничего разослать, так как по дефолту сендмейл не будет включен. На серверах моих клиентов никогда не было проблем с dm и вообще проблем отправки спама на тестовом режиме. В хостинге, где я работал, тоже таких проблем не было, при том, что клиентов было очень много. Спам рассылался редко, только уже на аккаунтах с открытым "sendmail". Все это решение автоматизируется до того, что в панели DA появляется галочка "Включить sendmail для аккаунта". Это решение под FreeBSD и exim. Всегда есть и минусы. Минус за 6 лет замечен один и применим только для хостинговых серверов: не все читают правила и не видят, что по дефолту отключен сендмейл и порой раздраженные писали в суппорт, что у них ничего не отправляется.

Закрываю 25 порт на все корме моего почтовика. Почтовик на отдельном сервере. Почтовик настроен так чтобы всякое Г. не слать. И все проблемы.

//Извиняюсь, уважаемые, сдержаться не могу.
//Отключаем сервер и никакого спама с него не будет. 100%
Но это я все к чему, Спам нужно отлавливать и/или фильтровать, а не отключать его причины(такие как вебсервер/cgi).
Методы , как уже сказали, анализа очереди, процессов в таком случае будут эффективнее

Глубже конечно
По имени - через ftp

Не подскажете на предмет чего, проверку выполнять?

Это верно, если почтовик на отдельном сервере, то проблем вообще никаких!

Большинство из присутствующих имеют сервера "все в одном", обычно с панелью DA или Cpanel.
По крайней мере все мои клиенты поголовно имеют "все в одном" на DA, да и я лично свое держу в такой коробке :) Только сервисы по джайлам распиханы. Вынесенный мэйлсервер - это решение многих проблем. Но вместе с тем и появление новых, о которых не все подозревают, когда решают в своей хостинговой компании иметь выделенные почтовые серверы. Когда я заведывал хостинговой компанией, я отказался от идеи вынесенных почтовых серверов и на тот момент это себя оправдывало, на сервис почты не жаловались. Время идет, приходят новые идеи и решения, который позволяют обойти и минусы вынесенных мейлсерверов.

Я так подозреваю, что достаточно почтовик повестить на отдельную ИП. Не знаю позволяет всеми любимые ДА и Спанель это сделать или нет никогда неюзал. С самого начала ориентируюсь на профессиональные решения.

Позволяет
Есть такая штука - смартхост

ИМХО самый простой и правильный метод при создании подобного рода аккаунтов.

P.S: вот после такого и предоставляй людям бесплатный хостинг.