Vesta Control Panel - Forum

Posted: **Tue Apr 03, 2018 10:54 pm**

Доброй ночи.
Помогите побороть отправку почты.

Предыстория ломанули WP и через него рассылался спамм, я обнаружил очередь из 130+ тысяч писем.

Почистив все отправил 4 письма себе тестовых, ниже лог.

У меня проблемы с exim (ранее все работало) или я влетел в БАН лист?

Code: Select all

2018-04-04 01:31:26 Start queue run: pid=10994
2018-04-04 01:33:20 Start queue run: pid=11026
2018-04-04 01:35:10 exim 4.89 daemon started: pid=11645, -q30m, listening for SMTP on port 25 (IPv4) port 587 (IPv4) port 2525 (IPv4) and for SMTPS on port 465 (IPv4)
2018-04-04 01:35:10 Start queue run: pid=11646
2018-04-04 01:36:03 Start queue run: pid=11655
2018-04-04 01:37:20 1f3UDo-0001zl-6Z H=mx.yandex.ru [213.180.204.89] Connection timed out
2018-04-04 01:37:29 1f3UYT-00032Q-Hj <= [email protected] U=www-data P=local S=624 [email protected]
2018-04-04 01:39:31 1f3UDo-0001zl-6Z H=mx.yandex.ru [87.250.250.89] Connection timed out
2018-04-04 01:39:39 1f3UYT-00032Q-Hj H=mx.yandex.ru [93.158.134.89] Connection timed out
2018-04-04 01:41:42 1f3UDo-0001zl-6Z H=mx.yandex.ru [93.158.134.89] Connection timed out
2018-04-04 01:41:50 1f3UYT-00032Q-Hj H=mx.yandex.ru [77.88.21.89] Connection timed out
2018-04-04 01:43:53 1f3UDo-0001zl-6Z H=mx.yandex.ru [77.88.21.89] Connection timed out
2018-04-04 01:44:01 1f3UYT-00032Q-Hj H=mx.yandex.ru [213.180.193.89] Connection timed out
2018-04-04 01:44:20 1f3Uf6-0003KF-UG <= admin@localhost U=admin P=local S=771
2018-04-04 01:46:04 1f3UDo-0001zl-6Z H=mx.yandex.ru [213.180.193.89] Connection timed out
2018-04-04 01:46:04 1f3UDo-0001zl-6Z == [email protected] R=dnslookup T=remote_smtp defer (110): Connection timed out
2018-04-04 01:46:04 1f3UE4-000203-05 == [email protected] R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'yandex.ru'
2018-04-04 01:46:04 1f3U2g-0001h0-Gg == [email protected] R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'yandex.ru'
2018-04-04 01:46:04 1f3U2g-0001h0-Gg == [email protected] R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'yandex.ru'
2018-04-04 01:46:04 1f3U34-0001kL-Jz == [email protected] R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'yandex.ru'
2018-04-04 01:46:04 1f3U34-0001kL-Jz == [email protected] R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host for 'yandex.ru'
2018-04-04 01:46:04 End queue run: pid=11646
2018-04-04 01:46:12 1f3UYT-00032Q-Hj H=mx.yandex.ru [213.180.204.89] Connection timed out
2018-04-04 01:46:12 1f3UYT-00032Q-Hj == [email protected] R=dnslookup T=remote_smtp defer (110): Connection timed out
2018-04-04 01:46:31 1f3Uf6-0003KF-UG H=alt2.gmail-smtp-in.l.google.com [74.125.135.27] Connection timed out
2018-04-04 01:48:42 1f3Uf6-0003KF-UG H=alt3.gmail-smtp-in.l.google.com [209.85.235.27] Connection timed out

Posted: **Wed Apr 04, 2018 5:11 am**

с сервера хостинга закрыты исходящие соединения на 25 порт, связывайтесь с хостером.

ЗЫ: не оставляйте без присмотра сайты на бесплатных широко распространенные движках,
ЗЫЫ: лучше не использовать бесплатные широко распространенные движки: wp, joomla, typo3, opencard и т.п. ломают их в первую очередь.

Posted: **Wed Apr 04, 2018 7:33 am**

demian wrote: ↑
Wed Apr 04, 2018 5:11 am
с сервера хостинга закрыты исходящие соединения на 25 порт, связывайтесь с хостером.

ЗЫ: не оставляйте без присмотра сайты на бесплатных широко распространенные движках,
ЗЫЫ: лучше не использовать бесплатные широко распространенные движки: wp, joomla, typo3, opencard и т.п. ломают их в первую очередь.

Вы правы.
Правда не понятно как ломанули ВП, fail2ban стоит, пароль только у одного пользователя и то шизанутый, сервер по ssh сертификату.
Через плагины что ли ломанули?

Posted: **Wed Apr 04, 2018 12:34 pm**

возможно, но не обязательно, в wp каждые две недели находят очередную дыру.
лучше самописные движки, от которых код не лежит в открытом доступе, или на фреймворке(phalcon, yii, kohana), но с тщательно от фильтрованными роутами.

ЗЫ: Skipfish в помощь.

ЗЫЫ: имхо fail2ban бесполезная утилита, годная исключительно для самоуспокоения. c iptables можно отрулить все то что может fail2ban и даже больше. только время реакции не 1-2 минуты за которые могут и поломать, а 1-2 секунды.

ЗЫЫЫ: на серверах с бесплатными или распространенными движками у меня работает https://www.rfxn.com/projects/linux-malware-detect/, проверяет/удаляет раз в сутки.

Posted: **Fri Apr 06, 2018 9:27 pm**

demian wrote: ↑
Wed Apr 04, 2018 12:34 pm
возможно, но не обязательно, в wp каждые две недели находят очередную дыру.
лучше самописные движки, от которых код не лежит в открытом доступе, или на фреймворке(phalcon, yii, kohana), но с тщательно от фильтрованными роутами.

ЗЫ: Skipfish в помощь.

ЗЫЫ: имхо fail2ban бесполезная утилита, годная исключительно для самоуспокоения. c iptables можно отрулить все то что может fail2ban и даже больше. только время реакции не 1-2 минуты за которые могут и поломать, а 1-2 секунды.

ЗЫЫЫ: на серверах с бесплатными или распространенными движками у меня работает https://www.rfxn.com/projects/linux-malware-detect/, проверяет/удаляет раз в сутки.

Благодарю за наводку.

Posted: **Mon Apr 09, 2018 9:44 pm**

Эпопея продолжается.
Поменял сервак, сменил всем пароли (админки, базы, акки в cms) и все равно опять гигабайтная очередь в Exim4.

Есть у кого время пошаманить, что бы выцепить дыру или подсказать как искать?

Posted: **Mon Apr 09, 2018 10:15 pm**

Закрываем тему - массовый хакинг панели был, а я ломал голову.

Описание viewtopic.php?f=28&t=16555&p=69236#p69236

[2018-04-09] New security fix release 0.9.8-20 avaliable now

Vesta Control Panel - Forum

Ошибка или БАН, чистка после взлома сайта.

Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.

Re: Ошибка или БАН, чистка после взлома сайта.