Después de pasarme la tarde de ayer parcheando las instalaciones…esta mañana me despertaba con 1000 mensajes de alerta en el ossec. Alguien seguía intentando mandar correos a saco.
Me estaba volviendo loco, el servidor de correo no escucha desde la ip publica… así que el que lo estuviera haciendo tenia que estar usando un formulario web o similar.
Solo tengo un formulario (que yo sepa) así que lo deshabite a ver… pero nada seguían mandado correos a saco.
Revisando los logs del correo tampoco había nada raro … todo salía desde localhost y desde el usuario www-data, así que estaba claro que esta por un formulario.
Había borrado la cola de correo varias veces, así que deje que se volviera a llenar y empece a mirar las cabeceras y el contenido de los correos …
Todos estaban generados por un x-mailer que se llamaba footer19.php. Mal rollo … búsqueda de ese fichero … y allí estaba.
Dos cosas claras …
La primera … Me han petado el servidor.
La segunda … Toca tarde de reinstalación.
Ya sabia a que web estaban atacando así que … revisando los logs encontré quien lo hacia y lo que hacia …
146.185.239.51 – – [02/Nov/2014:17:52:29 +0100] «POST /sites//libraries/cufon/footer19.php HTTP/1.1» 404 210 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0»
Ahi estaba … el puto ruso intentando volver a subir el archivo … solo que la instalación ya esta parchada y ya no funciona.
El fichero en cuestión se identificaba como una bonita webshell
Y todo esto desde la misma ip …
El bastardo llevaba unos cuantos días intentando subir mierda a la instancia …
146.185.239.52 – – [24/Oct/2014:02:33:54 +0200] «POST /modules/php/h2090r.php HT
TP/1.1» 200 446 «-» «Mozilla/5.0 (iPad; CPU OS 7_1_2 like Mac OS X) AppleWebKit/
537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53»
No creo que tenga que ver con la mega-petada de drupal … mas bien por un fallo en los permisos del directorio donde están las librerías.
Y ademas toda la culpa mía … por no revisar los permisos y por no hacer caso de las alertas …
Nov 2 16:30:03 xxxxxx sm-mta[1676]: ruleset=check_relay, arg1=xx.xx.xx.xx, arg2=xx.xx.xx.xx, relay=xx.xx.xx.xx, reject=421 4.3.2 Connection rate limit exceeded.
Nov 2 16:30:02 xxxxxx sm-mta[1670]: ruleset=check_relay, arg1=xx.xx.xx.xx, arg2=xx.xx.xx.xx, relay=xx.xx.xx.xx, reject=421 4.3.2 Connection rate limit exceeded.
No esta de mas volverse a leer la guía de secularización de Drupal.