We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Сервер рассылает спам Topic is solved
Сервер рассылает спам
Доброго времени суток. Панель 0.9.8 на DO, Centos 6.5 (i686), пришел тикет от поддержки, что с моего сервака отправляется спам. Посмотрел, действительно в очереди стоит куча писем, с несуществующих ящиков (бла-бла@мой_домер.ру) Сравнил конфиг exima с тем, который есть у вас на форуме - совпадает. Попытался остановить exim, он все равно запускается. Подскажите, как поступить, не знаю куда смотреть, спасибо.
Re: Сервер рассылает спам
День добрый.
Искать причину спама, отключением smtp вы проблему не решите, тогда вся почта работать не будет. Будет ходить только внутри сервера.
Ищите проблему в движке сайта. Ставьте защиту от спама.
Искать причину спама, отключением smtp вы проблему не решите, тогда вся почта работать не будет. Будет ходить только внутри сервера.
Ищите проблему в движке сайта. Ставьте защиту от спама.
Re: Сервер рассылает спам
День добрый, столкнулся с такой же проблемой.
Все работало хорошо, но недавно спам стал рассылаться с сервера.
Логи читаю ничего толком понять не могу.
Понял лишь только то, что уходят письма с адресов типа какое-то_имя@мой_домен.
Как можно узнать с какой учетки они создаются?
Раньше помнится мне писалось имя учетной записи с которой поступило письмо в экзим, сейчас же такого не вижу(
Все работало хорошо, но недавно спам стал рассылаться с сервера.
Логи читаю ничего толком понять не могу.
Понял лишь только то, что уходят письма с адресов типа какое-то_имя@мой_домен.
Как можно узнать с какой учетки они создаются?
Раньше помнится мне писалось имя учетной записи с которой поступило письмо в экзим, сейчас же такого не вижу(
Re: Сервер рассылает спам
Коллега, я искренне вам сочувствую, но читать такие пассажи весьма комично. Сервер сервером, но хитрые и нехорошие дядьки находят уязвимости в скриптах чаще, чем мы с вами пьем кофе.Все работало хорошо, но недавно спам стал рассылаться с сервера.
Можно, давайте расскажу как.Как можно узнать с какой учетки они создаются?
1) mailq - отличная команда, которая покажет нам очередь, она нам поможет подсмотреть ID подозрительного письма
2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Почистите очередь, разберитесь с правами на площадке, возможно стоит обновить скрипт... ну и мониторьте активность дальше :)
Re: Сервер рассылает спам
Большое спасибо, добрый человек!skurudo wrote:Коллега, я искренне вам сочувствую, но читать такие пассажи весьма комично. Сервер сервером, но хитрые и нехорошие дядьки находят уязвимости в скриптах чаще, чем мы с вами пьем кофе.Все работало хорошо, но недавно спам стал рассылаться с сервера.
Можно, давайте расскажу как.Как можно узнать с какой учетки они создаются?
1) mailq - отличная команда, которая покажет нам очередь, она нам поможет подсмотреть ID подозрительного письма
2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Почистите очередь, разберитесь с правами на площадке, возможно стоит обновить скрипт... ну и мониторьте активность дальше :)
Знания в этой области у меня весьма поверхностные, сервак подняли для внутренних нужд (верстать в команде да заказчику показать чего происходит), поэтому в таких случаях не всегда знаю что делать)
Re: Сервер рассылает спам
На здоровье :)
Обращайтесь ежели чего.
Обращайтесь ежели чего.
Re: Сервер рассылает спам
Ох долговато читать залес в var/spool/exim4/ input удалил все сообщения их было >2000
защел в phpmyadmin от рута нашел бд от роундкуба и пользователи и удалил ручками пользователей которых нет.
Это баг .https://bugs.vestacp.com/responses/roun ... il-problem
защел в phpmyadmin от рута нашел бд от роундкуба и пользователи и удалил ручками пользователей которых нет.
Это баг .https://bugs.vestacp.com/responses/roun ... il-problem
Re: Сервер рассылает спам
Не прекратиться если есть учетка в в бд не удаленная.skurudo wrote:2) exim -Mvb 1ZiwW5-0000HK-Ly -- далее вот такая команда - ищите X-PHP-Originating-Script он вам и покажет скрипт-плохиш - удаляйте его и поток спама прекратится.
Re: Сервер рассылает спам
такая же история со вчерашнего вечера: кто то нашел дыру в exim и рассылает спам с моего сервера ((
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:
причем рассылка идет как с действующих ящиков, так и с ящиков, которые когда то были, но давно удалены.
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:
Code: Select all
2016-11-25 14:03:24 1cAEHr-0007gH-ON <= [email protected] H=localhost.localdomain (chastnoe-seo.ru) [127.0.0.1] P=esmtp S=2007 [email protected]
2016-11-25 14:03:26 1cAEHr-0007gH-ON => [email protected] R=dnslookup T=remote_smtp H=mta6.am0.yahoodns.net [66.196.118.34] X=TLS1.2:RSA_ARCFOUR_SHA1:128
2016-11-25 14:03:26 1cAEHr-0007gH-ON Completed
2016-11-25 14:05:13 1cAEJd-0008E0-GS <= [email protected] H=localhost.localdomain (bakr-textil.ru) [127.0.0.1] P=esmtp S=1871 [email protected]
2016-11-25 14:05:16 1cAEJd-0008E0-GS => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.55.92.184] X=TLS1.2:RSA_AES_256_CBC_SHA256:256
2016-11-25 14:05:16 1cAEJd-0008E0-GS Completed
2016-11-25 14:07:04 1cAELQ-0008EG-K3 <= [email protected] H=localhost.localdomain (viberidom.com) [127.0.0.1] P=esmtp S=1941 [email protected]
2016-11-25 14:07:07 1cAELQ-0008EG-K3 => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.54.188.126] X=TLS1.2:RSA_AES_256_CBC_SHA256:256
2016-11-25 14:07:07 1cAELQ-0008EG-K3 Completed
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
Re: Сервер рассылает спам
дыра может быть только в ваших скриптахgurvinek wrote:такая же история со вчерашнего вечера: кто то нашел дыру в exim и рассылает спам с моего сервера ((
пробовал по инструкции выше - нет заголовка "X-PHP-Originating-Script"
в логах во это:причем рассылка идет как с действующих ящиков, так и с ящиков, которые когда то были, но давно удалены.Code: Select all
2016-11-25 14:03:24 1cAEHr-0007gH-ON <= [email protected] H=localhost.localdomain (chastnoe-seo.ru) [127.0.0.1] P=esmtp S=2007 [email protected] 2016-11-25 14:03:26 1cAEHr-0007gH-ON => [email protected] R=dnslookup T=remote_smtp H=mta6.am0.yahoodns.net [66.196.118.34] X=TLS1.2:RSA_ARCFOUR_SHA1:128 2016-11-25 14:03:26 1cAEHr-0007gH-ON Completed 2016-11-25 14:05:13 1cAEJd-0008E0-GS <= [email protected] H=localhost.localdomain (bakr-textil.ru) [127.0.0.1] P=esmtp S=1871 [email protected] 2016-11-25 14:05:16 1cAEJd-0008E0-GS => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.55.92.184] X=TLS1.2:RSA_AES_256_CBC_SHA256:256 2016-11-25 14:05:16 1cAEJd-0008E0-GS Completed 2016-11-25 14:07:04 1cAELQ-0008EG-K3 <= [email protected] H=localhost.localdomain (viberidom.com) [127.0.0.1] P=esmtp S=1941 [email protected] 2016-11-25 14:07:07 1cAELQ-0008EG-K3 => [email protected] R=dnslookup T=remote_smtp H=mx4.hotmail.com [65.54.188.126] X=TLS1.2:RSA_AES_256_CBC_SHA256:256 2016-11-25 14:07:07 1cAELQ-0008EG-K3 Completed
Единственное, чего удалось сделать - ограничить отправку писем до 50 в час.
в PHP mail.add_x_header = On, но лог не наполняется. Вернее есть там пару записей, но письма от моих скриптов.
Подскажите, чего делать...
пропишите в php.ini
x_header
log= /var/log/spam.txt
там пример есть в пхп ини надо только включить (раскоментировать строчку)
и прописать в кайо файл писать, файл создать и файлу 777 права дать
а потом смотреть в том файле какой пхп скрипт спам шлет и чистить вирусы