Форум Сайтостроение Администрирование серверов

Не могу найти причину спама

daga
На сайте с 01.06.2004
Offline
161
daga
716

Держу сервер в hetzner, вот такое сообщение от них. В течение суток могут IP отключить,  не могу понять что именно спамит

Установлен Directadmin / CSF / Brute Force Monitor


The issue of the relevant ticket has not been resolved. In the event that it is not successfully resolved by 2023-01-17 15:32:10 +0100, your server can be blocked at any time after this.
You will receive a separate notification if the server gets locked. In this case, please contact the support team in the data center.

----------->%-----------
time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Mon Jan 16 14:26:40 2023 TCP   159.*.*.202 46307 =>    31.12.171.83 623  
Mon Jan 16 14:25:44 2023 TCP   159.*.*.202 46307 =>    31.12.207.64 623  
Mon Jan 16 14:25:45 2023 TCP   159.*.*.202 46307 =>   31.12.220.126 623  
Mon Jan 16 14:26:39 2023 TCP   159.*.*.202 46307 =>    31.12.222.50 623  
Mon Jan 16 14:25:45 2023 TCP   159.*.*.202 46307 =>   31.129.36.124 623  
Mon Jan 16 14:25:49 2023 TCP   159.*.*.202 46307 =>     45.130.5.54 623
...
----------->%-----------



##########################################################################

#               Netscan detected from host   159.*.*.202              ###########################################################################

time                protocol src_ip src_port          dest_ip dest_port

---------------------------------------------------------------------------

Mon Jan 16 07:10:12 2023 TCP   159.*.*.202 53004 =>   31.12.135.131 623  

Mon Jan 16 07:10:38 2023 TCP   159.*.*.202 53004 =>    45.15.235.94 623  

Mon Jan 16 07:10:18 2023 TCP   159.*.*.202 53004 =>   45.129.75.252 623  

Mon Jan 16 07:10:06 2023 TCP   159.*.*.202 53004 =>    45.130.7.247 623  

Mon Jan 16 07:10:30 2023 TCP   159.*.*.202 53004 =>    46.149.50.30 623  

Mon Jan 16 07:10:33 2023 TCP   159.*.*.202 53004 =>  46.164.166.238 623  

Mon Jan 16 07:10:29 2023 TCP   159.*.*.202 53004 =>  46.164.169.127 623  

Mon Jan 16 07:10:31 2023 TCP   159.*.*.202 53004 =>   46.175.72.215 623  

Mon Jan 16 07:10:31 2023 TCP   159.*.*.202 53004 =>   46.219.166.41 623  

Mon Jan 16 07:10:31 2023 TCP   159.*.*.202 53004 =>  46.219.178.212 623  





Return-Path: <fbl@bounce.mailstream.senderscore.net>

Received: from mrd.us-east-1b.returnpath.net ([52.20.42.191]) by mail.hetzner.company with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) (Exim 4.94.2) (envelope-from <fbl@bounce.mailstream.senderscore.net>) id 1pH4MT-005Ya9-Rr for abuse@hetzner.com; Sun, 15 Jan 2023 15:50:51 +0100

Received: (Haraka outbound); Sun, 15 Jan 2023 14:50:29 +0000

Received: from localhost ([10.252.144.206]) by mrd.us-east-1b.returnpath.net (Haraka/2.8.28) with ESMTP id 1E30A918-44A2-4F14-A52C-F8E74CA4573C.1 envelope-from <fbl@bounce.mailstream.senderscore.net>; Sun, 15 Jan 2023 14:50:29 +0000

Date: Sun, 15 Jan 2023 14:50:29 +0000

From: Comcast FBL Service <feedbackloop@comcastfbl.senderscore.net>

To: abuse@hetzner.com

Message-ID: <01GPTYJ5C3KZX0Y1Q5032G6RPA.fbl@bounce.mailstream.senderscore.net>

Subject: Comcast Abuse Report

Mime-Version: 1.0

Content-Type: multipart/report;

 boundary=c83a9d75d3c88f9314c86abd191b2c5fe2047d4ed44943aed775781e6a18;

 report-type=feedback-report

Content-Transfer-Encoding: 7bit

Envelope-to: abuse@hetzner.com

Delivery-date: Sun, 15 Jan 2023 15:50:51 +0100

X-Rp-Fbl: type=arf; subscriptionID=394802

DKIM-Signature: v=1;a=rsa-sha256;bh=xQBv/tPPmSdZlKP4io/4PObual5li6AwGPMADLTW9r0=;c=relaxed/simple;d=senderscore.net;h=from:to:subject;s=081107;b=X/AGPdeJhPqj/5SVI3d6LwDL30p3eA8+5InWfxXjynZH9hdQLOItFoBzVdxe/L/dQZAvo1PJVx2yymIDnCyEgMKKHltufOnZqeS1oUnpmh/vyYh+oFWYqC5sGpULxvaUiBa1dTbmdltQKnhzsQJhTpmrRcMXDCrH64liJ0lcoOk=

X-DKIM-Status: pass [(senderscore.net) - 52.20.42.191]

X-Virus-Scanned: Clear (ClamAV 0.103.7/26782/Sun Jan 15 09:20:34 2023

X-ACL-Warn: )

Delivered-To: vmail-abuse@hetzner.com



--c83a9d75d3c88f9314c86abd191b2c5fe2047d4ed44943aed775781e6a18

Content-Type: text/plain;

 charset=UTF-8

Content-Transfer-Encoding: quoted-printable


This is a Comcast Abuse Report for an email message received from domain =

ns1..hosting.com.ua, IP 159.*.*.202, on Sun, 15 Jan 2023 16:04:10 +00=

00.


--c83a9d75d3c88f9314c86abd191b2c5fe2047d4ed44943aed775781e6a18

Content-Type: message/feedback-report

Content-Transfer-Encoding: quoted-printable

Content-Disposition: inline

Content-ID: <63c412d81500a_8592ab45f13796c978cd@abuse.hetzner.company.mail>


User-Agent: ReturnPathFBL/2.0

Version: 1

Arrival-Date: Sun, 15 Jan 2023 16:04:10 +0000

Original-Rcpt-To: f2e8f8cd1b59fad5b878740911a74293@comcast.net

Original-Rcpt-To: f2e8f8cd1b59fad5b878740911a74293@comcast.net

Source-Ip: 159.*.*.202

Source: Comcast

Feedback-Type: abuse

Original-Mail-From: eugenio@ns1..hosting.com.ua

Reported-Domain: ns1..hosting.com.ua

Abuse-Type: complaint

Subscription-Link: https://fbl.returnpath.net/manage/subscriptions/394802=



--c83a9d75d3c88f9314c86abd191b2c5fe2047d4ed44943aed775781e6a18

Content-Type: message/rfc822

Content-Transfer-Encoding: quoted-printable

Content-Disposition: inline

Content-ID: <63c412d8150e5_8592ab45f13796c9793e@abuse.hetzner.company.mail>


Return-Path: <eugenio@ns1..hosting.com.ua>

Delivered-To: f2e8f8cd1b59fad5b878740911a74293@comcast.net

Received: from dovdir4-hoc-01o.email.comcast.net ([96.102.18.163])

by dovback4-hoc-25o.email.comcast.net with LMTP

id ENCLNNoHxGP8bgAAD/NhJw:P1:P1

(envelope-from <eugenio@ns1..hosting.com.ua>)

for <f2e8f8cd1b59fad5b878740911a74293@comcast.net>; Sun, 15 Jan 2023 14:=

04:11 +0000

Received: from dovpxy-hob-14o.email.comcast.net ([96.102.18.163])

by dovdir4-hoc-01o.email.comcast.net with LMTP

id ENCLNNoHxGP8bgAAD/NhJw:P1

(envelope-from <eugenio@ns1..hosting.com.ua>)

for <f2e8f8cd1b59fad5b878740911a74293@comcast.net>; Sun, 15 Jan 2023 14:=

04:11 +0000

Received: from resimta-c1p-044832.sys.comcast.net ([96.102.18.163])

(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))

by dovpxy-hob-14o.email.comcast.net with LMTPS

id ENCLNNoHxGP8bgAAD/NhJw

(envelope-from <eugenio@ns1..hosting.com.ua>)

for <f2e8f8cd1b59fad5b878740911a74293@comcast.net>; Sun, 15 Jan 2023 14:=

04:11 +0000

Received: from ns1..hosting.com.ua ([159.*.*.202])

by resimta-c1p-044832.sys.comcast.net with ESMTP

id H3cHpSMUUycLTH3cHpLKzP; Sun, 15 Jan 2023 14:04:10 +0000

X-CAA-SPAM: N00001

X-Xfinity-VMeta: sc=3D600.00;st=3Dphishing

X-Xfinity-Message-Heuristics: IPv6:N;TLS=3D0;SPF=3D0;DMARC=3D

Subject: Incoming voicemail - 4:04

Content-Transfer-Encoding: base64

To: "f2e8f8cd1b59fad5b878740911a74293@comcast.net" <f2e8f8cd1b59fad5b8787=

40911a74293@comcast.net>

Inhibitor-Technologically-Punted: d9d644cff89399

Message-ID: <9ed64a832b3c.52d4e4febb.e4b7a8cc4ed78b@ns1..hosting.com.ua=

>

Date: Sun, 15 Jan 2023 16:04:10 +0000

Content-Type: text/html; charset=3DUTF-8

Underline-Hard-Plagiarism: e326fdbe6156aa97

From: Whats App Notifier <eugenio@ns1..hosting.com.ua>

MIME-Version: 1.0

Assailing-Rhymes: 95B82C3F6985F7

Облачный хостинг, официальный регистратор доменов в Украине. За прогон сайта, проведу видео-сессию, трансформирующую сознание:)
LEOnidUKG
На сайте с 25.11.2006
Offline
1724
LEOnidUKG
#1

Что за сайты то?

Вообще можно в PHP включить логирование MAIL и наблюдать.

Также можно вырубить EXIM и наблюдать кто будет долбиться.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/
S_E_O Алексей - Строительные ссылки
На сайте с 22.07.2006
Offline
308
S_E_O Алексей - Строительные ссылки
#2
Если ящиков нету рабочих на сервере, то отключите почтовый сервер.
⚡ Размещение ссылок на 50 строительных сайтах без бирж: ⚡пакет №5 ( https://searchengines.guru/ru/forum/977443 )⚡пакет №1 https://searchengines.guru/ru/forum/922181 ⚡ пакет №2 ( https://searchengines.guru/ru/forum/925481 ), и ⚡пакет №3 ( https://searchengines.guru/ru/forum/938528 ) .
LEOnidUKG
На сайте с 25.11.2006
Offline
1724
LEOnidUKG
#3
S_E_O Алексей - Строительные ссылки #:
Если ящиков нету рабочих на сервере, то отключите почтовый сервер.

Это не решение проблемы, если кто-то отправляет письма, возможно уже что-то взломали.

S_E_O Алексей - Строительные ссылки
На сайте с 22.07.2006
Offline
308
S_E_O Алексей - Строительные ссылки
#4
LEOnidUKG #:

Это не решение проблемы, если кто-то отправляет письма, возможно уже что-то взломали.

Да, но по крайней мере перестанет отправляться спам, и можно заниматься поиском дыр.

daga
На сайте с 01.06.2004
Offline
161
daga
#5

Спасибо всем за ответы.

Отключили IP. сервер под хостинг с почтой в всеми возможными скриптами.

Сделал снапшот на новый сервер. Но не знаю куда копать, почта подставляется на ДНС хостинга   eugenio@ns1..hosting.com.ua


 NetscanOutLevel: Netscan detected from

AbuseBlacklist: [SpamCop (159.****202) id:7236994598]Someone matched with you on Tinder!

Original-Mail-From: eugenio@ns1..hosting.com.ua

Reported-Domain: ns1..hosting.com.ua


> ##########################################################################
> #               Netscan detected from host   159.69.88.202               #
> ##########################################################################
> 
> time                protocol src_ip src_port          dest_ip dest_port
> ---------------------------------------------------------------------------
> Tue Jan 17 07:16:02 2023 TCP   159.69.88.202 46307 =>   31.12.148.131 623  
> Tue Jan 17 07:17:07 2023 TCP   159.69.88.202 46307 =>   31.12.148.195 623  
> Tue Jan 17 07:17:07 2023 TCP   159.69.88.202 46307 =>    31.12.161.87 623  
> Tue Jan 17 07:15:52 2023 TCP   159.69.88.202 46307 =>    31.12.190.71 623  
> Tue Jan 17 07:17:08 2023 TCP   159.69.88.202 46307 =>   31.12.199.215 623
Papa-seo
На сайте с 28.08.2019
Offline
38
Papa-seo
#6
Я через Крон ставил как то очистку почтовой очереди exim каждые 2 минуты. Потом само прошло)) 

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий