Для вступления в общество новичков и профессионалов домен-индустрии, пожалуйста нажмите здесь ...

   
 Купля-продажа и обсуждение доменных имён
        

  
Вернуться   Форум о доменах > Дизайн и развитие проектов > Начинающему веб-мастеру
Регистрация Реноме Правила форума Справка Пользователи Социальные группы Все разделы прочитаны
Начинающему веб-мастеру Инструкции, часто задаваемые вопросы и программы обучения.

Ответ
 
Опции темы
Сегодня
от 149р за .RU
Аренда сервера
2x Intel Hexa-Core Xeon E5-2420
Всего 79 евро!

с видеокартой GeForce GTX 1080 Ti
всего 99 евро!

от 149р за .РФ Реклама на DomenForum.net
Старый 13.02.2017, 09:35   #1
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
С сайтов идёт неизвестная рассылка спама. Где искать?

Уже в 5 раз приходит уведомление о рассылке 200 писем с хостинга. Началось с неделю назад. Что делать и как избавиться от проблемы?
На хостинге десятки сайтов на WordPress И каждый раз приходит сообщение о рассылке писем с разных сайтов:

 
The u78d6 account has just finished sending 200 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/u78d.bytes file, it was found that the highest sender was u78d@ h21.ost.ru, at 262 emails.

The top authenticated user was u78d, at 444 emails.
This accounts for 222% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.


The most common path that the messages were sent from is /home/u78d/domains/domen.ru/public_html, at 137 emails (68%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.




This warning was generated because the 200 email threshold was hit.

================================
Automated Message Generated by DirectAdmin 1.50.1
Port_Artur вне форума   Ответить с цитированием
Старый 13.02.2017, 10:23   #2
 
Регистрация: 22.06.2016
Сообщений: 617
Доменные сделки: 12
Реноме: 495
Одобрения
Спасибо (Отдано): 48
Спасибо (Получено): 144
Обратиться в саппорт хостинга с описанием проблемы - скорей всего один из сайтов хакнут или был установлен хакнутый плагин.

2 варианта решения проблемы:
- найти хакнутый сайт (саппорт, логи и поочередное отключение сайтов) и переустановить заново, используя плагины из проверенных источников
- полностью отключить исходящую почту на сервере (саппорт), заменив почтовые формы на сайтах указанием адресов эл.почты
alex8 вне форума   Ответить с цитированием
Старый 13.02.2017, 10:52   #3
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Новые плагины уже более полугода не устанавливались и не обновлялись. Обновлялся только сам Вордпресс автоматом. Грешу на это.
Формы есть на сайтах, но они завязаны на мою почту. Писем приходит немного и все по делу. Так что формы на сайтах отпадают из подозреваемых.

Отключение сайтов не вариант, - бизнес.
Port_Artur вне форума   Ответить с цитированием
Старый 13.02.2017, 11:07   #4
 
Регистрация: 22.06.2016
Сообщений: 617
Доменные сделки: 12
Реноме: 495
Одобрения
Спасибо (Отдано): 48
Спасибо (Получено): 144
Формы на сайтах не служат источником рассылки - просто на сайте есть внедренный код, который использует ваш SMTP сервер. Скорей всего, этим кодом управляют извне вашего сервера (при помощи запросов).

Просмотрите логи - можно попытаться найти необычные GET или POST запросы к серверу с неизвестных сайтов/серверов. Определите их IP забаньте - обычно в панели управления есть возможность блокировки IP.
alex8 вне форума   Ответить с цитированием
Старый 13.02.2017, 11:48   #5
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Буду "копать".
Port_Artur вне форума   Ответить с цитированием
Старый 17.02.2017, 01:54   #6
Заблокирован
Клон TmBay
 
Регистрация: 02.03.2016
Адрес: http://osnovateli.ru
Сообщений: 840
Доменные сделки: 3
Реноме: 483
Одобрения
Спасибо (Отдано): 47
Спасибо (Получено): 167
Проверьте по фтп на сайтах папки с правами на запись, особенно 777, особенно с названиями images, img и т.д., куда обычно пишутся фотографии и т.д. В какой-нибудь такой папке скорей всего есть какой-то левый файл, который туда прописали взломщики. Этот файл легче искать по дате создания, которая скорей всего недавняя и совсем не совпадает с датами других файлов, которые были залиты в день установки сайта. Этот левый файл и есть скрипт рассылки почты.
Smartoid вне форума   Ответить с цитированием
Старый 17.02.2017, 11:43   #7
 
Аватар для voron
 
Регистрация: 03.09.2006
Сообщений: 2,025
Доменные сделки: 46
Реноме: 2958
Одобрения
Спасибо (Отдано): 110
Спасибо (Получено): 146
Доступ к логам есть? Нужно посмотреть логи на предмет того какой файл с какой аккаунта шлет почту.

А версии вордпресс все 4.7.2? Если нет, срочно обновлять - до 4.7.1 юзается старый дырявый PHPMailer, да и в 4.7.1 есть дырень и эксплоит под нее.
voron вне форума   Ответить с цитированием
Старый 17.02.2017, 13:24   #8
 
Аватар для cB@nner
 
Регистрация: 09.07.2009
Адрес: Это Родина моя!
Сообщений: 724
Доменные сделки: 24
Реноме: 2118
Одобрения
Спасибо (Отдано): 359
Спасибо (Получено): 163
Сообщение от Port_Artur Посмотреть сообщение
уведомление о рассылке 200 писем с хостинга. Началось с неделю назад
Port_Artur, такая хренотень сейчас везде , на наших сайтах (хостинг ihor) была аналогичная ситуация. Всё удалили и переустановили заново. Помогло

Сообщение от Port_Artur Посмотреть сообщение
Обновлялся только сам Вордпресс автоматом. Грешу на это
В первых числах февраля, свыше 100 тысяч вебсайтов на WordPress, стали жертвами хакерских атак:
- WordPress тайком ликвидировал опасную уязвимость
- Предосторожность WordPress не помогла

добавлено через 8 минут
Сообщение от Smartoid Посмотреть сообщение
Этот файл легче искать по дате создания, которая скорей всего недавняя и совсем не совпадает с датами других файлов, которые были залиты в день установки сайта. Этот левый файл и есть скрипт рассылки почты
Что самое интересное, эта хрень изменила все даты папок и файлов на дату взлома и вычистить по дате было очень сложно

__________________
Мои аукционы и лоты по доменам Robot/Robotics (выслушаю ставки от ххх...)

Последний раз редактировалось cB@nner; 17.02.2017 в 13:33. Причина: Добавлено сообщение
cB@nner вне форума   Ответить с цитированием
Старый 17.02.2017, 16:50   #9
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
дело в том, что в той папке /public_html/ (влючая все подпапки) на которую ругаются и других таких же (домены в зоне.ru), что идёт рассылка писем, - все файлы от 5 февраля 2016
и левых названий с расширением .php тоже нет.


Ругается только на домены .ru

B .htaccess с переадресацией мобильного трафика на порносайты тоже только под .ru домены пишется.
С .РФ такой проблемы нет !!!

добавлено через 8 минут
Сообщение от voron Посмотреть сообщение
Доступ к логам есть? Нужно посмотреть логи на предмет того какой файл с какой аккаунта шлет почту.
А что именно в логах искать? Как запись отсылки почты может выглядеть?

Последний раз редактировалось Port_Artur; 17.02.2017 в 16:58. Причина: Добавлено сообщение
Port_Artur вне форума   Ответить с цитированием
Старый 17.02.2017, 18:06   #10
 
Регистрация: 22.06.2016
Сообщений: 617
Доменные сделки: 12
Реноме: 495
Одобрения
Спасибо (Отдано): 48
Спасибо (Получено): 144
Сообщение от Port_Artur Посмотреть сообщение
С .РФ такой проблемы нет !!!
Там наверняка "кривые" нелатинские ссылки и вражеский код в них путается)

Сообщение от Port_Artur Посмотреть сообщение
А что именно в логах искать? Как запись отсылки почты может выглядеть?
Сравните логи исходящий сообщений (найдите точное время отправки спама) и логи работающих в это же момент времени пхп файлов - нужно найти совпадения по времени и понять - какой из пхп-ешек отправил то или иное сообщение. И уже тогда изучить код это пхп.
alex8 вне форума   Ответить с цитированием
Ответ



Реклама

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Закладки Добавить Тема в закладки

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:43. Часовой пояс GMT +4.