Написать этот материал побудило событие, произошедшее фактически почти месяц назад. И суть даже не в том, что на самом деле оказалось все не так сложно как представлялось, а необходимость собрать в кучку события нескольких дней по поиску и обезвреживанию оного вируса.

Итак. на адрес администрации хостинга пришло письмо от вполне компетентной организации(германский федеральный офис информационной безопасности BSI) о том, что в соответствии с их системами безопасности с наших серверов идет активность вируса типа elTest с указанием сервера на который пересылается какая-то информация. Можно было бы отнестись к этому как к временному явлению, ну мало ли что могло случиться один раз, но. Когда перестали уходить письма на определенные домены, оказалось что наши сервера были отнесены в черный список - и вот с этим пришлось что-то делать. Во-первых, при беглой проверке сервера по спискам SPAMHOUSE оказалось что сервер числиться в штрафных в листинге CBL . На странице, описывающей причины блокировки четко значилось что таки с нашего сервера шел трафик, который толковался как процесс жизнедеятельности вируса. После этого не осталось сомнений - нужно что-то решать. Первое, что пришлось сделать - это проверить журналы сервера, что происходило в то время, когда фиксировалась активность вируса. Учитывая возможной расхождение во времени до 5 минут - потенциальными жертвами были или сервера почты, или веб-сервера. Отдельно появилось предположение что вирус укоренился где-то глубже. До этого момента на сервере не использовалось антивирусное программное обеспечения, и для очистки совести решили поставить ClamAV и запустить его на проверку. Учитывая, что файлов на сервере довольно много - процесс был запущен на всю ночь. Параллельно, чтобы не пользоваться только данными сторонних источников о фиксации события связи вируса со сервером решили поставить на мониторинг сетевую активность на указанный сервер и порт примерно таким образом:

iptables -A ISPMGR -d 192.42.116.41/32 -p tcp -j LOG --log-prefix "EITEST:" --log-level 7
iptables -A ISPMGR -d 192.42.116.41/32 -p tcp -m tcp --dport 80 -j DROP

что в результате этого получили - получили в системном логе строки, по которым можно было видеть время когда вирус выходил на связь со своим хозяином. В результате чего время для анализа с 5 минут уменьшилось да десятка секунд. Первым попал под подозрение сервис почты по POP3 IMAP Dovecot - но после анализа его журналов и отключения сервиса оказалось, что вирус все равно на связи. Таким образом оного мы отбросили. Потом все-таки решили посмотреть, что творится с веб-сервером, и не являются ли сайты источником этой заразы. К счастью, на сервере ведется довольно подробная регистрация процессов обработки веб-сервиса, и после сопоставления были отобраны потенциальный десяток сайтов и скриптов, который выполнялись примерно во время появления активности вируса. И вот, проверяя их один за одним удалось таки обнаружить четкую зависимость между веб ссылкой и активностью вируса. Дальше пошла уже ручная работа, по проверке скрипта который был причиной вируса. Оказалось, что действительно, в нормальный код сайта были сделаны множество вставок, которые и выполняли вредоносную работу. Причем, учитывая древность этих скриптов они не менялись минимум несколько лет!. После дезинфекции всех скриптов сайта была собрана коллекция обфускированных вирусов и троянов. Странно, что раньше системы не обнаруживали их активность - но то уже дело прошлое. Как результат:

1. Антивирус не нашел этих троянов в каталоге сайта, но за то нашел кучу вирусов в почтовых вложениях. Как результат он теперь работает вместе с почтовыми сервисами для удаления вредоносов.
2. Лишний раз убедились что не всегда можно доверять даже самым близким клиентам, при переносе сайтов от других провайдеров.
3. Сервер был исключен из СПАМ листов, что улучшило прохождение почты.
4. Получили удовольствие от потраченного не зря времени.