Сервер рассылает спам Topic is solved
Сервер рассылает спам
Доброго времени суток. Панель 0.9.8 на DO, Centos 6.5 (i686), пришел тикет от поддержки, что с моего сервака отправляется спам. Посмотрел, действительно в очереди стоит куча писем, с несуществующих ящиков (бла-бла@мой_домер.ру) Сравнил конфиг exima с тем, который есть у вас на форуме - совпадает. Попытался остановить exim, он все равно запускается. Подскажите, как поступить, не знаю куда смотреть, спасибо.
Re: Сервер рассылает спам
День добрый.
Искать причину спама, отключением smtp вы проблему не решите, тогда вся почта работать не будет. Будет ходить только внутри сервера.
Ищите проблему в движке сайта. Ставьте защиту от спама.
Искать причину спама, отключением smtp вы проблему не решите, тогда вся почта работать не будет. Будет ходить только внутри сервера.
Ищите проблему в движке сайта. Ставьте защиту от спама.
Re: Сервер рассылает спам
День добрый, столкнулся с такой же проблемой.
Все работало хорошо, но недавно спам стал рассылаться с сервера.
Логи читаю ничего толком понять не могу.
Понял лишь только то, что уходят письма с адресов типа какое-то_имя@мой_домен.
Как можно узнать с какой учетки они создаются?
Раньше помнится мне писалось имя учетной записи с которой поступило письмо в экзим, сейчас же такого не вижу(
Все работало хорошо, но недавно спам стал рассылаться с сервера.
Логи читаю ничего толком понять не могу.
Понял лишь только то, что уходят письма с адресов типа какое-то_имя@мой_домен.
Как можно узнать с какой учетки они создаются?
Раньше помнится мне писалось имя учетной записи с которой поступило письмо в экзим, сейчас же такого не вижу(
Re: Сервер рассылает спам
Коллега, я искренне вам сочувствую, но читать такие пассажи весьма комично. Сервер сервером, но хитрые и нехорошие дядьки находят уязвимости в скриптах чаще, чем мы с вами пьем кофе.Все работало хорошо, но недавно спам стал рассылаться с сервера.
Можно, давайте расскажу как.Как можно узнать с какой учетки они создаются?
1) mailq - отличная команда, которая покажет нам очередь, она нам поможет подсмотреть ID подозрительного письма
2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Почистите очередь, разберитесь с правами на площадке, возможно стоит обновить скрипт... ну и мониторьте активность дальше :)
Re: Сервер рассылает спам
Большое спасибо, добрый человек!skurudo wrote:Коллега, я искренне вам сочувствую, но читать такие пассажи весьма комично. Сервер сервером, но хитрые и нехорошие дядьки находят уязвимости в скриптах чаще, чем мы с вами пьем кофе.Все работало хорошо, но недавно спам стал рассылаться с сервера.
Можно, давайте расскажу как.Как можно узнать с какой учетки они создаются?
1) mailq - отличная команда, которая покажет нам очередь, она нам поможет подсмотреть ID подозрительного письма
2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Почистите очередь, разберитесь с правами на площадке, возможно стоит обновить скрипт... ну и мониторьте активность дальше :)
Знания в этой области у меня весьма поверхностные, сервак подняли для внутренних нужд (верстать в команде да заказчику показать чего происходит), поэтому в таких случаях не всегда знаю что делать)
Re: Сервер рассылает спам
На здоровье :)
Обращайтесь ежели чего.
Обращайтесь ежели чего.
Re: Сервер рассылает спам
Ох долговато читать залес в var/spool/exim4/ input удалил все сообщения их было >2000
защел в phpmyadmin от рута нашел бд от роундкуба и пользователи и удалил ручками пользователей которых нет.
Это баг .https://bugs.vestacp.com/responses/roun ... il-problem
защел в phpmyadmin от рута нашел бд от роундкуба и пользователи и удалил ручками пользователей которых нет.
Это баг .https://bugs.vestacp.com/responses/roun ... il-problem
Re: Сервер рассылает спам
Не прекратиться если есть учетка в в бд не удаленная.skurudo wrote:2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Re: Сервер рассылает спам
такая же история со вчерашнего вечера: кто то нашел дыру в exim и рассылает спам с моего сервера ((
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:
причем рассылка идет как с действующих ящиков, так и с ящиков, которые когда то были, но давно удалены.
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:
Code: Select all
2016-11-25 14:03:24 1cAEHr-0007gH-ON <= [email protected] H=localhost.localdomain (chastnoe-seo.ru) [127.0.0.1] P=esmtp S=2007 [email protected]
2016-11-25 14:03:26 1cAEHr-0007gH-ON => [email protected] R=dnslookup T=remote_smtp H=mta6.am0.yahoodns.net [66.196.118.34] X=TLS1.2:RSA_ARCFOUR_SHA1:128
2016-11-25 14:03:26 1cAEHr-0007gH-ON Completed
2016-11-25 14:05:13 1cAEJd-0008E0-GS <= [email protected] H=localhost.localdomain (bakr-textil.ru) [127.0.0.1] P=esmtp S=1871 [email protected]
2016-11-25 14:05:16 1cAEJd-0008E0-GS => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.55.92.184] X=TLS1.2:RSA_AES_256_CBC_SHA256:256
2016-11-25 14:05:16 1cAEJd-0008E0-GS Completed
2016-11-25 14:07:04 1cAELQ-0008EG-K3 <= [email protected] H=localhost.localdomain (viberidom.com) [127.0.0.1] P=esmtp S=1941 [email protected]
2016-11-25 14:07:07 1cAELQ-0008EG-K3 => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.54.188.126] X=TLS1.2:RSA_AES_256_CBC_SHA256:256
2016-11-25 14:07:07 1cAELQ-0008EG-K3 Completed
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
Re: Сервер рассылает спам
дыра может быть только в ваших скриптахgurvinek wrote:такая же история со вчерашнего вечера: кто то нашел дыру в exim и рассылает спам с моего сервера ((
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:причем рассылка идет как с действующих ящиков, так и с ящиков, которые когда то были, но давно удалены.Code: Select all
2016-11-25 14:03:24 1cAEHr-0007gH-ON <= [email protected] H=localhost.localdomain (chastnoe-seo.ru) [127.0.0.1] P=esmtp S=2007 [email protected] 2016-11-25 14:03:26 1cAEHr-0007gH-ON => [email protected] R=dnslookup T=remote_smtp H=mta6.am0.yahoodns.net [66.196.118.34] X=TLS1.2:RSA_ARCFOUR_SHA1:128 2016-11-25 14:03:26 1cAEHr-0007gH-ON Completed 2016-11-25 14:05:13 1cAEJd-0008E0-GS <= [email protected] H=localhost.localdomain (bakr-textil.ru) [127.0.0.1] P=esmtp S=1871 [email protected] 2016-11-25 14:05:16 1cAEJd-0008E0-GS => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.55.92.184] X=TLS1.2:RSA_AES_256_CBC_SHA256:256 2016-11-25 14:05:16 1cAEJd-0008E0-GS Completed 2016-11-25 14:07:04 1cAELQ-0008EG-K3 <= [email protected] H=localhost.localdomain (viberidom.com) [127.0.0.1] P=esmtp S=1941 [email protected] 2016-11-25 14:07:07 1cAELQ-0008EG-K3 => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.54.188.126] X=TLS1.2:RSA_AES_256_CBC_SHA256:256 2016-11-25 14:07:07 1cAELQ-0008EG-K3 Completed
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
пропишите в php.ini
x_header
log= /var/log/spam.txt
там пример есть в пхп ини надо только включить (раскоментировать строчку)
и прописать в кайо файл писать, файл создать и файлу 777 права дать
а потом смотреть в том файле какой пхп скрипт спам шлет и чистить вирусы