Intrusione su vps Aruba

[mauroferri]

Qualche giorno fa mi sono accorto che il mio script per invio di newsletter installato su un dominio in un VPS Aruba non funzionava più (non invia più neanche una mail!)
Dopo una serie di test che mi sono stati suggeriti da un analogo thread su questo ottimo forum sono giunto alla conclusione che probabilmente il vps è stato violato.

Nel maillog ho trovato righe come queste:

Nov 11 04:08:27 62 qmail: 1257908907.282222 starting delivery 186182: msg 540386982 to remote ind4u@yandex.ru
Nov 11 04:08:27 62 qmail: 1257908907.282236 status: local 0/10 remote 20/20
Nov 11 04:08:28 62 qmail: 1257908908.987889 delivery 186160: failure: Connected_to_85.21.23.15_but_sender_was_rejected./Remote_host_said:_553_sorry,_your_domain_does_not_ exists./
Nov 11 04:08:29 62 qmail: 1257908909.113187 status: local 0/10 remote 19/20
Nov 11 04:08:29 62 qmail: 1257908909.120134 starting delivery 186183: msg 540386984 to remote ingory@yandex.ru
Nov 11 04:08:29 62 qmail: 1257908909.120153 status: local 0/10 remote 20/20
Nov 11 04:08:29 62 qmail: 1257908909.485054 delivery 186183: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Nov 11 04:08:29 62 qmail: 1257908909.485078 status: local 0/10 remote 19/20
Nov 11 04:08:29 62 qmail: 1257908909.485094 starting delivery 186184: msg 540386984 to remote elenazizi@yandex.ru

Nel file smtp_pendings.log ho trovato righe come queste:

1257908882.866030 starting delivery 186154: msg 540386964 to remote naunadya@yandex.ru
1257908894.997957 starting delivery 186168: msg 540386974 to remote fedra_x@yandex.ru
1257908876.844811 starting delivery 186145: msg 540386958 to remote iroshka102@yandex.ru
1257908870.824248 starting delivery 186143: msg 540386956 to remote grigr001@yandex.ru
1257908883.046709 starting delivery 186155: msg 540386964 to remote nafanyasv@yandex.ru
1257908870.824007 starting delivery 186142: msg 540386956 to remote konoff@yandex.ru
1257908895.104615 starting delivery 186169: msg 540386974 to remote jobson.dap@yandex.ru

Infine parte finale dell'output del comando ps aux | grep qmail è questo:

qmailr 13781 0.0 0.0 0 0 ? Z 16:50 0:00 [qmail-remote] <defunct>
qmailr 15924 0.0 0.0 0 0 ? Z 16:50 0:00 [qmail-remote] <defunct>
qmailr 16336 0.0 0.0 6204 4136 ? S 16:50 0:00 qmail-rspawn
qmails 3184 1.5 0.0 3520 2516 ? S 18:32 0:08 qmail-send
qmaill 3187 0.0 0.0 1456 452 ? S 18:32 0:00 splogger qmail
root 3190 0.0 0.0 1484 348 ? S 18:32 0:00 qmail-lspawn ./Maildir/
qmailr 3191 0.0 0.0 1616 536 ? S 18:32 0:00 qmail-rspawn
qmailq 3192 0.0 0.0 1448 328 ? S 18:32 0:00 qmail-clean
qmailr 1954 0.0 0.0 3424 984 ? S 18:41 0:00 qmail-remote yandex.ru anonymous@servervirtuale.aruba milashka888@yandex.ru
qmailr 3086 0.0 0.0 3424 988 ? S 18:41 0:00 qmail-remote yandex.ru anonymous@servervirtuale.aruba ekv92@yandex.ru

La domanda è molto semplice: cosa devo fare per ripristinare l'integrità del mio VPS prima di procedere al ripristino dell'ultimo backup (che spero 'sano') ?
Molte grazie in anticipo.
Help!!

[Ste]

Su Virtuozzo il ripristino completo ripristina anche il sistema, per cui avrai un backup che contiene ancora quelle falle Controlla che non sia impostato come open relay, cerca su HT per info ecc

[mauroferri]

Ho fatto una verifica su http://www.checkor.com/: niente open relay

[NikyAT1]

La VPS la tieni aggiornata? Altrimenti, una volta ripristinato il backup (sperandolo sano) devi aggiornare tutti i pacchetti della VPS