- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня получил жалобу на спам из сервера. Сам ничего не расслылаю. Как можно узнать кто откуда и как делает рассылку?
Вот лог, который мне прислали:
[ SpamCop V4.6.1.006 ]
This message is brief for your comfort. Please use links below for details.
Email from 193.169.188.32 / Fri, 28 Jan 2011 20:31:07 +0000
********************************
[ Offending message ]
Return-path:
Received: from smtpin125.mac.com ([10.150.68.125])
by ms083.mac.com (Oracle Communications Messaging Exchange Server 7u4-20.01
64bit (built Nov 21 2010)) with ESMTP id for
x; Fri, 28 Jan 2011 12:31:30 -0800 (PST)
Original-recipient: rfc822;x
Received: from c60.cesmail.net ([216.154.195.49])
by smtpin125.mac.com (Sun Java(tm) System Messaging Server 7u3-16.01 64bit
(built May 20 2010)) with ESMTP id for
x (ORCPT x); Fri,
28 Jan 2011 12:31:30 -0800 (PST)
X-Proofpoint-Virus-Version: vendor=fsecure
engine=2.50.10432:5.2.15,1.0.148,0.0.0000
definitions=2011-01-28_06:2011-01-28,2011-01-28,1970-01-01 signatures=0
X-Proofpoint-Spam-Details: rule=notspam policy=default score=2 spamscore=2
ipscore=0 suspectscore=39 phishscore=0 bulkscore=0 adultscore=56
classifier=spam adjust=0 reason=mlx engine=6.0.2-1012030000
definitions=main-1101280147
Received: from unknown (HELO filter7.cesmail.net) ([192.168.1.217])
by c60.cesmail.net with SMTP; Fri, 28 Jan 2011 15:31:12 -0500
Received: (qmail 18287 invoked by uid 1009); Fri, 28 Jan 2011 20:31:12 +0000
Delivered-to: cesmail-net-x
Received: (qmail 18218 invoked from network); Fri, 28 Jan 2011 20:31:08 +0000
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on filter7
X-Spam-Level: ***
X-Spam-Status: hits=3.4 tests=URIBL_RHS_DOB,URIBL_SBL version=3.2.4
Received: from unknown (192.168.1.107) by filter7.cesmail.net with QMQP; Fri,
28 Jan 2011 20:31:08 +0000
Received: from cp.action-productions.net (HELO isp.barvanet.com)
(193.169.188.32) by mx70.cesmail.net with SMTP; Fri, 28 Jan 2011 20:31:07 +0000
Received: from root by isp.barvanet.com with local (Exim 4.72)
(envelope-from )
id 1PiuyB-0002RT-P0 for x; Fri, 28 Jan 2011 22:30:59 +0200
Date: Fri, 28 Jan 2011 22:30:59 +0200
Message-id:
From: Liu Fang Ling
Subject: Hey x. This is Estella. Wanna date?
To: x
MIME-version: 1.0
Content-type: text/plain
X-SpamCop-Checked: 193.169.188.32
I am visiting your area. Wanna go on a date? If I like you and you like me we should rent a hotel room. I am extremely horny tonight! :-) Contact me here: ofz8y5b.developedunnecessarilyc.info/
Estella
cd /var/log/mail
cat mainlog | grep
вроде не сложно...
cd /var/log/mail
cat mainlog | grep
вроде не сложно...
я в этом ничего не понимаю. что там нужно смотреть? Какие данные там можно увидеть?
Спасибо
Наймите администратора, работа стоит около 10$ в обычном случае. Судя по всему, вы 10 долларами не обойдетесь.
Наймите администратора, работа стоит около 10$ в обычном случае. Судя по всему, вы 10 долларами не обойдетесь.
а какая оценочная стоимость работ может быть? (что-бы меня не таво :) )
Наймите администратора, работа стоит около 10$ в обычном случае. Судя по всему, вы 10 долларами не обойдетесь.
А что там в данном случае можно искать ? Даже нет пояснений в headers на тему того каким скриптом было отправлено, ну увидит он в логах что поступило письмо в очередь , уехало на remote_smtp и че??? Тут надо будет сначала на сервере покрутить чуток, а потом ждать следующего спама с его сервера, что бы зафиксировать кто же это...
Romka_Kharkov добавил 31.01.2011 в 10:57
а какая оценочная стоимость работ может быть? (что-бы меня не таво :) )
ЗА 10$ я бы не взялся ;))))
Есть еще такие данные:
Evidence:
attacked server: relay3.netpilot.net
envelopesender: root@isp.barvanet.com
enveloperecpient: molzen@pepdesign.de
Helo: isp.barvanet.com
source-ip: 193.169.188.32
protocol: ESMTP
instance: predata20.89d.4d437e18.18803.0
size: 1722
reason: 20 -->570 Blocked by http://www.clean-mx.de ip of sending client is blacklistet:
Evidences so far in total for this ip:1
---
Reported-From: abuse@clean-mx.de
Category: info
Report-Type: harvesting
Service: postfix
Version: 0.1
User-Agent: V2.1.5 anti-scam-bot clean-mx.de
Date: Sat, 29 Jan 2011 03:40:24 +0100
Source-Type: ip-address
Source: 193.169.188.32
Port: 25
Report-ID: 95841622@postfix.clean-mx.de
Schema-URL: http://www.x-arf.org/schema/info_0.1.0.json
Attachment: text/plain
attacked server: relay3.netpilot.net
envelopesender: root@isp.barvanet.com
enveloperecpient: molzen@pepdesign.de
Helo: isp.barvanet.com
source-ip: 193.169.188.32
protocol: ESMTP
instance: predata20.89d.4d437e18.18803.0
size: 1722
reason: 20 -->570 Blocked by http://www.clean-mx.de ip of sending client is blacklistet:
Evidences so far in total for this ip:1
А что там в данном случае можно искать ? Даже нет пояснений в headers на тему того каким скриптом было отправлено, ну увидит он в логах что поступило письмо в очередь , уехало на remote_smtp и че??? Тут надо будет сначала на сервере покрутить чуток, а потом ждать следующего спама с его сервера, что бы зафиксировать кто же это...
Ну или пресечь это дело. если рассылают стандартно через exim - найти не проблема. А если через хитрый зад - можно его прикрыть. Ну я бы (судя потому, что вам нужен аудит) разговаривал бы от 30-50 долларов...
Ну или пресечь это дело. если рассылают стандартно через exim - найти не проблема. А если через хитрый зад - можно его прикрыть. Ну я бы (судя потому, что вам нужен аудит) разговаривал бы от 30-50 долларов...
Так а как вы присечь собираетесь если не известен источник, или есть какие-то шаманские методики как на шаред сервере из 10.000 сайтов вычислить именно тот который спамит ???
Без анализа хидеров и добавления туда спец хидеров по поводу скрипта который инициирует mail() ?
Без анализа хидеров и добавления туда спец хидеров по поводу скрипта который инициирует mail() ?
Ну тут много о тчего зависит, например, посмотреть suexec.log, также посмотреть последние логи ftp, они обычно закачивают что-то вроде _a.txt _b.txt mailbase.txt и потом все это удаляют.
Если файрволом не блокируется 25 порт наружу по uid/gid в логах exim может ничего не быть. Гадать можно долго :)
Ну тут много о тчего зависит, например, посмотреть suexec.log, также посмотреть последние логи ftp, они обычно закачивают что-то вроде _a.txt _b.txt mailbase.txt и потом все это удаляют.
Если файрволом не блокируется 25 порт наружу по uid/gid в логах exim может ничего не быть. Гадать можно долго :)
Я прекрасно понимаю о чем вы, я просто намекнул что 10$ это не то о чем стоит разговаривать, за 10$ разве что кто-то посмотрит на уже готовый и настроенный suexec + все остальное что вы перечислили, а вот зашли вы на сервер, а там exim default install + no-suesec (апачик пересобрать надо) да и в файрволе например по uid/gid ничего не прописано (что кстати само по себе панацеей не является), а еще круче ядро какое-то "мега новое" где еще iptables не собрано :))))
Ну а насчет FTP это вы загнули наверное (хотя в комплексе с другими мероприятиями не помеха однозначно), я если сейчас лог отгрепаю по a.txt получу мильярд совпадений :))) Что искать то?
Отсюда и цена плясать будет.
ТС вот мои личные рекомендации:
(опишу "на русском" , все равно придется к админу обращаться)
1. Во первых, exim (ваш MTA) должен быть собран\настроен с максимально возможной системой логов, т.е должно быть видно кто и что и почему.
2. PHP + PERL должны содержать враперы которые будут отдельно логировать вызовы mail(). Что бы было видно какой именно скрипт отправил почту. (таким образом можно легко выяснить вредителя среди массы других клиентов).
3. Опция в iptables которую упоминает V(o)ViK так же будет полезна, но не сама по себе, а в совокупности с двумя пунктами описанными выше. В таком случае вы запретите исходящие коннекты на любые 25 порты любых ИП адресов для системных пользователей за исключением доверенных (тот от которого работает MTA, может какие-то системные дополнительные).
4. Никогда не стоит забывать о том, что если у вас шаред хостинг то вредить может вовсе не клиент, а например какой-то сторонний злоумышленник, который например через сайт одного из ваших клиентов , найдя в нем баг , шлет спам.
5. Рекомендую , для всех ваших доменов, прописать SPF записи , а так же настроить Domain Keys. Значительно снижает риск спама который могут рассылать с чужих серверов используя ваше доменное имя.
Пожалуй на этом все.
Ну и вообще мне интересно по описанным вами хедерам понять, если в них IP адрес который принадлежит вашему серверу? (если да, то какой?) мало ли, может это какой-то bounce back spam, который SBL не расчехлил.