- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Взломали виртуальный сервер и начали спам рассылку. :madd:
Каким образом можно узнать:
Как идет отправка писем - через скрипт, лежащий на сервере, или через какую либо учетную запись?
В mail.log только такие записи:
Aug 30 06:52:29 название-сервера sm-mta[32610]: q7U2qIww032610: from=<ashton[сабака]cavtel.net>, size=7277, class=0, nrcpts=5, msgid=<E39CE756F870455C8957863A8AAB7488@kfdij>, proto=ESMTP, daemon=MTA-v4, relay=static.vdc.com.vn [113.162.60.152] (may be forged)
Сервер Ubuntu 8.0.4. На данный момент через ISPmanager отключил SMTP
Через скрипт, судя по всему (смотрите соответствующий этому from виртуальный хост).
Через скрипт, судя по всему (смотрите соответствующий этому from виртуальный хост).
Где смотреть? Такого виртуального хоста нету на моем сервере.
шеллы ищи на сайтах
шеллы ищи на сайтах
Искал. Это первое, что делал. Ничего не нашел.
Не новых файлов, не записей в логе апача подходящих нет.
ТС, я в свое время использовал простейший врапер на shell, который подменял текущий бинарик (sendmail или что там у вас), делал логирующие записи о каждом обращении к нему, а следом передавал весь набор аргументов на оригинальный бинарь....
ТС, я в свое время использовал простейший врапер на shell, который подменял текущий бинарик (sendmail или что там у вас), делал логирующие записи о каждом обращении к нему, а следом передавал весь набор аргументов на оригинальный бинарь....
Вроде понял, что Вы написали, но знаний недостаточно, что бы такое сделать. Более простых способов узнать откуда обращаются к sendmail нет?
Вроде понял, что Вы написали, но знаний недостаточно, что бы такое сделать. Более простых способов узнать откуда обращаются к sendmail нет?
Почему же нет, есть, но есть много но !
Во первых вы рут на сервере и имеете доступ к логам, я полагаю там описано не мало, та строка , что вы привели , как вы понимаете мало данных дает о том кто отправил, во первых я рекомендую вам перехватить очередь... т.е посмотреть полные хидеры письма, если у вас например отправка происходит через PHP и установлены mailheaders то вы увидите из какого виртуального хоста идет рассылка.... если же у вас все серо и просто, то можно никогда не найти .... ибо клиент который поставил в очередь это письмо на вашем сервере для вас же получается анонимным, любой клиент мог это сделать.... а у вас по факту нет путей слежения за этим, что в корне как бы противоречит логике отправки почты ... об этом надо беспокоится в тот момент когда вы почтовик ставите .... разве вам не интересно кто почту от вас шлет? А сейчас у вас проблема, вы кусок лога вывалили который ничего не решает ...... помочь по таким данным просто невозможно.... изучайте логи и хедеры в первую очередь, если там пусто будет ..... то тогда вам надо смотреть в сторону php (mailheaders), это даст возможность хотя бы проверить не шлют ли через PHP скрипты...., могут слать и через запущенные PERL скрипты, но вы их должны видеть в выводе 'ps auxw', посмотрите, нет ли там чего-то подозрительного.... (рекомендую сразу процесс не убивать, а пропустить его через lsof, что бы понять откуда он запущен и что это), так же посмотрите папки /tmp и /var/tmp, обычно сливается туда весь треш (тут рекомендую использовать nosuid,noexec опции при монтировании FS). Ну и как последний вариант, если все таки самому разобраться нет сил - обращайтесь за профессиональной помощью, тут да и не только тут, полно специалистов которые сквозь свой опыт через 10 минут скажут вам кто и как слал спам... но угадать это по 1му сообщению из maillog просто не реально :D Кстати, вы точно уверены что домена "cavtel.net" у вас нет на сервере?
Еще попробуйте сделать "cat <ваш лог фай> | grep q7U2qIww032610", возможно вы увидите дополнительные данные касающиеся цитируемой вами отправки.
Да , кстати! Не мало важный вопрос! Как вы поняли что идет спам рассылка с вашего сервера?
Пока что все, пробуйте, сообщайте о результатах.
Во первых вы рут на сервере и имеете доступ к логам, я полагаю там описано не мало, та строка , что вы привели , как вы понимаете мало данные дает о том кто отправил,
Да, рут.
т.е посмотреть полные хидеры письма
Есть полный заголовок письма. Но из него так же не понятно:
Received: from web-admin.ru (web-admin.ru [46.254.18.164]) by mxfront6.mail.yandex.net (nwsmtp/Yandex) with ESMTP id KbQWsrT9-M8Qm3lB0; Thu, 30 Aug 2012 07:22:08 +0400
X-Yandex-Front: mxfront6.mail.yandex.net
X-Yandex-TimeMark: 1346296928
X-Yandex-Spam: 4
Authentication-Results: mxfront6.mail.yandex.net; spf=softfail (mxfront6.mail.yandex.net: transitioning domain of bresnan.net does not designate 46.254.18.164 as permitted sender) smtp.mail=kylie@bresnan.net
Received: from 202-218-211-101-sv.cb21.co.jp (202-218-211-101-sv.cb21.co.jp [202.218.211.101] (may be forged)) (authenticated bits=0) by web-admin.ru (8.14.2/8.14.2/Debian-2build1) with ESMTP id q7U2pJwd032519; Thu, 30 Aug 2012 06:51:23 +0400
Message-ID: <59C43B239ADA4661A8F1E86A2F26B7F9@clgx>
Reply-To: =?windows-1251?B?3erx7+Xw8ujn4CDv8O7l6vLt7i3x7OXy7e7p?=
=?windows-1251?B?IOTu6vPs5e3y4Pbo6A==?= <stroi-expertiza@qip.ru>
From: =?windows-1251?B?3erx7+Xw8ujn4CDv8O7l6vLt7i3x7OXy7e7p?=
=?windows-1251?B?IOTu6vPs5e3y4Pbo6A==?= <kylie@bresnan.net>
To: <info@stylol.ru>, <amtex@ipost.ru>, <consultart@ya.ru>, <info@imereli.ru>, <info@marketingmedia.ru>
Subject: =?windows-1251?B?zc7C28kg7+7w/+Tu6iDR0tDOyNLFy9zNzskg?=
=?windows-1251?B?3crRz8XQ0sjH2w==?=
Date: Thu, 30 Aug 2012 05:51:25 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_09B8_01CD8673.7DB4E2E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Mail 6.0.6001.18416
X-MimeOLE: Produced By Microsoft MimeOLE V6.0.6001.18645
Return-Path: kylie@bresnan.net
X-Yandex-Forward: b25ef70c56078843d3023f36d940b6ce =======================================================
получается анонимным
Анониму из вне отправка запрещена и сейчас установил, что бы и с сервера отправка была невозможна анониму. Но после этого письма с сайтов не уходят :)
не шлют ли через PHP скрипты...., могут слать и через запущенные PERL скрипты
Если через них шлют, то скорее всего должны быть данные об этом в логах апача, а там только обычные страницы сайтов.
посмотрите папки /tmp и /var/tmp
в tmp только сессии, а в /var/tmp - пусто
Если отправка через скрипт (веб) - будет соответствующая запись в логах сервера, искать по дате (посмотреть формат лога - могут отличаться). Если указанного хоста нет - можно искать в файлах cavtel.net
Искать по дате изменения файлов (2 дня назад).. //или -mtime
Искать по дате изменения файлов (2 дня назад).. //или -mtime
кроме сессий и логов ничего нет :(