Быстрый переход |
|
Начинающему веб-мастеру Инструкции, часто задаваемые вопросы и программы обучения. |
|
Опции темы |
Сегодня | |||||
|
13.02.2017, 09:35 | #1 | |||
Реноме:
1556
|
С сайтов идёт неизвестная рассылка спама. Где искать?
Уже в 5 раз приходит уведомление о рассылке 200 писем с хостинга. Началось с неделю назад. Что делать и как избавиться от проблемы?
На хостинге десятки сайтов на WordPress И каждый раз приходит сообщение о рассылке писем с разных сайтов: The u78d6 account has just finished sending 200 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual. After some processing of the /etc/virtual/usage/u78d.bytes file, it was found that the highest sender was u78d@ h21.ost.ru, at 262 emails. The top authenticated user was u78d, at 444 emails. This accounts for 222% of the emails. The higher the value, the more likely this is the source of the emails. An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery. The most common path that the messages were sent from is /home/u78d/domains/domen.ru/public_html, at 137 emails (68%). The path value may only be of use if it's pointing to that of a User's home directory. If the path is a system path, it likely means the email was sent through smtp rather than using a script. This warning was generated because the 200 email threshold was hit. ================================ Automated Message Generated by DirectAdmin 1.50.1
__________________
|
|||
13.02.2017, 10:23 | #2 | |||
Реноме:
498
|
Обратиться в саппорт хостинга с описанием проблемы - скорей всего один из сайтов хакнут или был установлен хакнутый плагин.
2 варианта решения проблемы: - найти хакнутый сайт (саппорт, логи и поочередное отключение сайтов) и переустановить заново, используя плагины из проверенных источников - полностью отключить исходящую почту на сервере (саппорт), заменив почтовые формы на сайтах указанием адресов эл.почты |
|||
13.02.2017, 10:52 | #3 | |||
Реноме:
1556
|
Новые плагины уже более полугода не устанавливались и не обновлялись. Обновлялся только сам Вордпресс автоматом. Грешу на это.
Формы есть на сайтах, но они завязаны на мою почту. Писем приходит немного и все по делу. Так что формы на сайтах отпадают из подозреваемых. Отключение сайтов не вариант, - бизнес.
__________________
|
|||
13.02.2017, 11:07 | #4 | |||
Реноме:
498
|
Формы на сайтах не служат источником рассылки - просто на сайте есть внедренный код, который использует ваш SMTP сервер. Скорей всего, этим кодом управляют извне вашего сервера (при помощи запросов).
Просмотрите логи - можно попытаться найти необычные GET или POST запросы к серверу с неизвестных сайтов/серверов. Определите их IP забаньте - обычно в панели управления есть возможность блокировки IP. |
|||
13.02.2017, 11:48 | #5 | |||
Реноме:
1556
|
Буду "копать".
__________________
|
|||
17.02.2017, 01:54 | #6 | |||
Заблокирован
Клон TmBay Реноме:
486
|
Проверьте по фтп на сайтах папки с правами на запись, особенно 777, особенно с названиями images, img и т.д., куда обычно пишутся фотографии и т.д. В какой-нибудь такой папке скорей всего есть какой-то левый файл, который туда прописали взломщики. Этот файл легче искать по дате создания, которая скорей всего недавняя и совсем не совпадает с датами других файлов, которые были залиты в день установки сайта. Этот левый файл и есть скрипт рассылки почты.
|
|||
17.02.2017, 11:43 | #7 | |||
Реноме:
2979
|
Доступ к логам есть? Нужно посмотреть логи на предмет того какой файл с какой аккаунта шлет почту.
А версии вордпресс все 4.7.2? Если нет, срочно обновлять - до 4.7.1 юзается старый дырявый PHPMailer, да и в 4.7.1 есть дырень и эксплоит под нее.
__________________
|
|||
17.02.2017, 13:24 | #8 | |||
Реноме:
2129
|
Port_Artur, такая хренотень сейчас везде , на наших сайтах (хостинг ihor) была аналогичная ситуация. Всё удалили и переустановили заново. Помогло
В первых числах февраля, свыше 100 тысяч вебсайтов на WordPress, стали жертвами хакерских атак: - - добавлено через 8 минут
__________________
Мои аукционы и лоты по доменам Robot/Robotics (выслушаю ставки от ххх...) Последний раз редактировалось cB@nner; 17.02.2017 в 13:33. Причина: Добавлено сообщение |
|||
17.02.2017, 16:50 | #9 | |||
Реноме:
1556
|
дело в том, что в той папке /public_html/ (влючая все подпапки) на которую ругаются и других таких же (домены в зоне.ru), что идёт рассылка писем, - все файлы от 5 февраля 2016
и левых названий с расширением .php тоже нет. Ругается только на домены .ru B .htaccess с переадресацией мобильного трафика на порносайты тоже только под .ru домены пишется. С .РФ такой проблемы нет !!! добавлено через 8 минут А что именно в логах искать? Как запись отсылки почты может выглядеть?
__________________
Последний раз редактировалось Port_Artur; 17.02.2017 в 16:58. Причина: Добавлено сообщение |
|||
17.02.2017, 18:06 | #10 | |||
Реноме:
498
|
Там наверняка "кривые" нелатинские ссылки и вражеский код в них путается)
Сравните логи исходящий сообщений (найдите точное время отправки спама) и логи работающих в это же момент времени пхп файлов - нужно найти совпадения по времени и понять - какой из пхп-ешек отправил то или иное сообщение. И уже тогда изучить код это пхп. |
|||
Реклама | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|