Блог Ваганова Николая

на некоторых системах такое случается и в моем случае в логах было вот что :

dovecot: Sep 22 11:28:51 Error: pop3-login: Time just moved backwards by 4 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards
dovecot: Sep 22 11:28:51 Error: imap-login: Time just moved backwards by 4 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards
dovecot: Sep 22 11:28:51 Error: imap-login: Time just moved backwards by 4 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards

Это значит, что время на машине прыгает ( секунды прыгают то назад, то вперед )

нативный фикс от разработчиков :

создаем файл «/usr/local/sbin/dovecot_check_restart.sh» со следующим содержанием :

#!/bin/sh

HOST='localhost'
PORT=110
#PORT=143
#HP=@$HOST:$PORT
HP=:$PORT
echo 'Checking to see if Dovecot is up…'
if ( /usr/sbin/lsof -Pni $HP -s TCP:LISTEN 2>&1 >/dev/null ); then
echo 'Dovecot is up';
else
echo 'Dovecot is down, restarting…';
/etc/init.d/dovecot restart
logger -p mail.info dovecot_check_restart.sh restarting Dovecot
fi

либо с использованием netstat :

#!/bin/sh
chk=`netstat -an | grep -c :110`
if [ «$chk» = «0» ]
then
echo «Dovecot is down, Restarting…»;
/etc/init.d/dovecot restart
fi

сохраняем и добавляем в кронтаб запись :

* * * * * /usr/local/sbin/dovecot_check_restart.sh 2>&1 > /dev/null

ищем конфиг :

find /etc -name dovecot.conf

далее в конфиге ищем директиву — «log_path =» ( почему-то она по дефолту закомментирована )

раскомментируем ее и изменяем вот так :

log_path = /var/log/dovecot.log

и ребутим сервис.

Все, теперь и данный сервис логируется.

если после активации модуля у Вас при его использовании возникает ошибка — malformed result , то идем на сервер и смотрим недостающие пакеты для этого модуля :

/usr/local/ispmgr/addon/mysqldumpupload

и ставим их :

apt-get install libxml-libxml-perl libxml-simple-perl

После этого убиваем панель ( на всякий случай ) — killall ispmgr.

вуаля — все работает =)

для начала убиваем все процессы кроме sshd

Далее по netstat -plnt ( либо через ps aux ) смотрим, какие процессы появились заново и смотрим на открытые соединения :

lsof -i :port_of_process

далее через lsof смотрим открытые файлы процессами и отсеиваем ненужные :

lsof | egrep -v lsof | egrep -v egrep | egrep -v sshd | egrep -v hald | egrep -v crond | egrep -v avahi

и вуаля , перед нами полная картина по обращению к вредоносным файлам.

в моем случае был процесс httpd -DSSL c родителем — psy ботом , который и был вычищен.

после удаления зараженных файлов нужно в срочно порядке обновить систему ( ядро и все пакеты), обновить CMS и пересмотреть политики расставленных прав.

Естественно до начала заражения нужно вычистить все темповые папки ( например — /tmp , /var/tmp ) так как изначально в 99% случаев именно в них хранятся первичные вирусы, причем просмотра папок через ls недостаточно, так как изобретательные киддисы создают папки вида — «….» и при просмотре через ls или удалении через «rm -rf * » в папке они не удалятся, так как считаются скрытыми.

CentOS

yum -y install php-pecl-xdebug

Debian :

aptitude install php5-xdebug

далее добавляем корректный конфиг xdebug.ini в /etc/php.d/ ( для Debian — /etc/php5/conf.d ) :

extension=xdebug.so
zend_extension_ts=/путь/до/xdebug.so
xdebug.remote_enable=On
xdebug.remote_host=ip
xdebug.remote_port=10000
xdebug.remote_handler=dbgp
xdebug.profiler_enable=On