Для вступления в общество новичков и профессионалов домен-индустрии, пожалуйста нажмите здесь ...

   
 Купля-продажа и обсуждение доменных имён
        

  
Вернуться   Форум о доменах > Дизайн и развитие проектов > Начинающему веб-мастеру
Регистрация Реноме Правила форума Справка Пользователи Социальные группы Все разделы прочитаны
Начинающему веб-мастеру Инструкции, часто задаваемые вопросы и программы обучения.

Ответ
 
Опции темы
Сегодня
от 149р за .RU
Аренда сервера
2x Intel Hexa-Core Xeon E5-2420
Всего 79 евро!

с видеокартой GeForce GTX 1080 Ti
всего 99 евро!

от 149р за .РФ Реклама на DomenForum.net
Старый 17.02.2017, 21:17   #11
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
У меня нет времени спама, просто приходит сообщение, что отправлено более 200 писем и всё.

добавлено через 5 минут
Кроме timthumb.php, wp-login.php и несколько раз xmlrpc.php в логах не фигурируют другие файлы .php

добавлено через 11 минут
Судя по количество отправленных писем с данного домена и упоминаний в логах, это файл wp-login.php.

Думаю как то отправляют через напоминание логина и пароля.

3 раза подряд с одного IP обращение, потом меняется на другой и опять 3 раза и так далее

Есть такая особенность все с "Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"

Как закрыть?

Последний раз редактировалось Port_Artur; 17.02.2017 в 21:29. Причина: Добавлено сообщение
Port_Artur вне форума   Ответить с цитированием
Старый 17.02.2017, 21:35   #12
 
Регистрация: 22.06.2016
Сообщений: 617
Доменные сделки: 12
Реноме: 495
Одобрения
Спасибо (Отдано): 48
Спасибо (Получено): 144
Скачайте оригинальный вордпресс и сравните размеры подозрительных файлов из ваших хакнутых сайтов с чистыми из установочного архива.
alex8 вне форума   Ответить с цитированием
Старый 18.02.2017, 01:20   #13
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Обновился до 4.7.2., теперь wp-login.php стал весить как оригинал, а был меньше, думаю из-за старой версии.
Главное результат, - ждём очередного письма о 200 письмах.
Port_Artur вне форума   Ответить с цитированием
Старый 18.02.2017, 01:58   #14
 
Аватар для voron
 
Регистрация: 03.09.2006
Сообщений: 2,025
Доменные сделки: 46
Реноме: 2958
Одобрения
Спасибо (Отдано): 110
Спасибо (Получено): 146
Скорее всего проблема была в старой версии и phpmailer'e.

Логи нужно смотреть не доступа (access), а именно отправки скриптами. Эти логи включаются ручками и пишутся в указанный файл.

Внутри выглядит примерно так:

 
mail() on [/var/www/{SERVER_LOGIN}/data/www/{SERVER_DOMAIN}/wp-includes/class-phpmailer.php:698]: To: {EMAIL_TO} -- Headers: Date: Fri, 17 Feb 2017 19:53:40 +0000 From: WordPress <{EMAIL_FROM}> Message-ID: <{MESSAHE-ID_FROM}> X-Mailer: PHPMailer 5.2.22 (https://github.com/PHPMailer/PHPMailer) MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit
Жирным выделил сообщение о том, какой именно скрипт производит отправку. Цифры - номер строки в этом файле.
voron вне форума   Ответить с цитированием
Старый 20.02.2017, 14:55   #15
 
Аватар для Budrus
 
Регистрация: 19.03.2011
Адрес: somewhere over the rainbow
Сообщений: 784
Доменные сделки: 0
Реноме: 784
Одобрения
Спасибо (Отдано): 132
Спасибо (Получено): 340
Запросите саппорт вашего хостинга просканировать ваши файлы, а также запросите их помощь найти проблему с рассылкой. Если хостинг нормальный-они Вам найдут где и какой скрипт рассылает и где находится за 5-10 минут. От вас останется только убрать подозрительные коды.
Budrus вне форума   Ответить с цитированием
Старый 20.02.2017, 23:58   #16
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Прислали лог отправки писем, но там не указаны файлы через которые идёт отправка.
Время, от кого, кому, общая папка домена и всё.

добавлено через 14 минут
Звонил в службу поддержки, сказали что логов, где указаны файлы, отправляющие письма у них нет.

А письма по прежнему отправляются, - тупик.

Последний раз редактировалось Port_Artur; 21.02.2017 в 00:12. Причина: Добавлено сообщение
Port_Artur вне форума   Ответить с цитированием
Старый 21.02.2017, 02:03   #17
 
Аватар для voron
 
Регистрация: 03.09.2006
Сообщений: 2,025
Доменные сделки: 46
Реноме: 2958
Одобрения
Спасибо (Отдано): 110
Спасибо (Получено): 146
Сообщение от Port_Artur Посмотреть сообщение
Звонил в службу поддержки, сказали что логов, где указаны файлы, отправляющие письма у них нет.
у Вас не ВПС, чтобы самому можно было настроить логирование файлов?

Пусть включат, блин... Или пусть найдут сами и укажут на файл.
Как без логов работать?
voron вне форума   Ответить с цитированием
Старый 21.02.2017, 09:15   #18
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Нет
Port_Artur вне форума   Ответить с цитированием
Старый 21.02.2017, 09:59   #19
 
Регистрация: 21.10.2016
Сообщений: 5
Доменные сделки: 0
Реноме:
Одобрения
Спасибо (Отдано): 0
Спасибо (Получено): 3
да чего вы источник рассылок то ищите?
если у вас код бекдора прописали, то сколько бы вы не сносили, то всё встанет на место и будет дальше пакостить )

копайте глубже

http://antishell.ru/
keywords вне форума   Ответить с цитированием
Старый 21.02.2017, 13:10   #20
 
Аватар для Port_Artur
 
Регистрация: 03.12.2006
Адрес: Россия
Сообщений: 3,492
Доменные сделки: 24
Реноме: 1548
Одобрения
Спасибо (Отдано): 527
Спасибо (Получено): 750
Отправить сообщение для Port_Artur с помощью ICQ
Если я правильно понимаю, это нужно было ставить когда всё было в порядке, или после того как избавлюсь от этой "заразы".

Мне нужно лечение сайтов, с предупреждением опоздал.
Port_Artur вне форума   Ответить с цитированием
Ответ



Реклама

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Закладки Добавить Тема в закладки

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 08:05. Часовой пояс GMT +4.