Форум Сайтостроение Администрирование серверов

Спамят с моего сервера, как найти источник?

12 3
Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
4048

Здравствуйте!

Точно такая же проблема была на старом моем сервере.

Вроде нашли папку сайта, с которой рассылался спам.

Позже переехал на новый сервер, перенес проекты, проработал пару месяцев и вновь проблема...

Получаю от хостеров такое письмо:

К сожалению, вынуждены сообщить Вам, что на Ваш сервер поступила жалоба от Датацентра.
Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему.
С подробностями жалобы Вы можете ознакомиться ниже.

Return-path:
Envelope-to: abuse@hetzner.de
Delivery-date: Wed, 19 Dec 2012 19:20:45 +0100
Received: from [171.161.160.26] (helo=txdmzmailmx08.bankofamerica.com)
by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from )
id 1TlOG4-0001Ik-M0
for abuse@hetzner.de; Wed, 19 Dec 2012 19:20:45 +0100
Received: from txdmzmailmx07.bankofamerica.com ([171.180.168.234])
by txdmzmailmx08.bankofamerica.com (8.14.5/8.14.5) with ESMTP id qBJIKYJv015129
for ; Wed, 19 Dec 2012 18:20:35 GMT
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bankofamerica.com;
s=corp1210; t=1355941235;
bh=/N+Ah6ZukNsD+zL1m0IyW63DKTRZZxNbS6a2AAtM+H8=;
h=Date:From:Subject:To:Message-id:MIME-version:Content-type:
Content-transfer-encoding;
b=0UvEOEotTzyB2IGCBmdOdZnMZubHtdCF2GsCKhFogg4oCumPZoO6tb4MC5D1stTBA
9ry00enJTb7xKcW2shcy8t4O8dV4/ybjgc1YFuj1r2IshRKJYi8kmR4i16Abo05K3f
QYQf8QH5CbkLPBL1fv3IQWnHslnCMe72qqdIbM8I=
Received: from memtx2mta03.bankofamerica.com (memtx2mta03.bankofamerica.com [171.186.232.156])
by txdmzmailmx07.bankofamerica.com (8.14.5/8.14.5) with ESMTP id qBJIKHkB021582
for ; Wed, 19 Dec 2012 18:20:34 GMT
Date: Wed, 19 Dec 2012 13:20:32 -0500
From: abuse-reply@bankofamerica.com
Subject: ATAC: #21706 Malware spoofing 404 error: 5.9.65.67
To: abuse@hetzner.de
Message-id:
MIME-version: 1.0
Content-type: text/plain; charset="utf-8"
Content-transfer-encoding: base64
X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10432:5.9.8327,1.0.431,0.0.0000
definitions=2012-12-19_08:2012-12-19,2012-12-19,1970-01-01 signatures=0
X-Proofpoint-Spam-Reason: safe
X-Virus-Scanned: Clear (ClamAV 0.97.5/15931/Wed Dec 19 17:37:38 2012)
X-Spam-Score: -2.2 (--)
Delivered-To: he1-abuse@hetzner.de

DQpBYnVzZSBUZWFtLA0KV2UgaGF2ZSBiZWVuIG1hZGUgYXdhcmUgdGhhdCB0aGUgZm9sbG93aW5n
IElQIGFkZHJlc3NlcyB0aGF0IHlvdSBhcHBlYXIgdG8gaG9zdCBtYXkgaGF2ZSBiZWVuIHVzZWQg
aW4gcmVjZW50IGN5YmVyIGF0dGFja3MuIFdlIGhhdmUgYmVlbiBpbmZvcm1lZCB0aGVzZSBjb21w
cm9taXNlcyBtYXkgYmUgYSByZXN1bHQgb2YgYSBKb29tbGEgdnVsbmVyYWJpbGl0eSwgYW5kIGlm
IG5vdCBwYXRjaGVkIHdpbGwgc2ltcGx5IGJlIHJlLWluZmVjdGVkLg0KV2UgcmVxdWVzdCB0aGF0
IHlvdSBpbnZlc3RpZ2F0ZSB0aGVzZSBJUCBhZGRyZXNzZXMgdG8gaWRlbnRpZnkgYW55IG1hbGlj
aW91cyBhY3Rpdml0eS4gSWYgeW91IGFyZSBhYmxlIHRvIGNvbmZpcm0gc3VzcGljaW91cyBhY3Rp
dml0eSwgcGxlYXNlIHRha2UgYXBwcm9wcmlhdGUgYWN0aW9uIHRvIGRpc2FibGUgdGhlIG1hbHdh
cmUsIHBhdGNoIHRoZSB2dWxuZXJhYmlsaXR5IG9yIHJlbW92ZSB0aGUgZGV2aWNlcyBmcm9tIHRo
ZSBuZXR3b3JrLg0KTm90ZTogIEFsbCBJUHMvVVJMcyBiZWxvdyBoYXZlIGJlZW4gY29uZmlybWVk
IGFzIGFjdGl2ZSBqdXN0IHByaW9yIHRvIHRoaXMgbm90aWZpY2F0aW9uIGJlaW5nIHNlbnQuICBJ
ZiB5b3UgZmVlbCBhY3Rpb24gaGFzIGFscmVhZHkgYmVlbiB0YWtlbiBwbGVhc2UgcmVjb25maXJt
IGJ5IGNoZWNraW5nIHRoZSBzcGVsbGluZy9ncmFtbWFyIG9mIHRoZSA0MDQgbWVzc2FnZSByZXR1
cm5lZCAo4oCcNDA0IE5vdCBGb3VuIGRlcnJlcuKAnSB2cy4g4oCcNDA0IE5vdCBGb3VuZCBFcnJv
cuKAnSkuICBJZiB5b3UgYXJlIHN0aWxsIHJlY2VpdmluZyB0aGUg4oCcNDA0IE5vdCBGb3VuIGRl
cnJlcuKAnSBlcnJvciBtZXNzYWdlLCB0aGF0IGRldmljZSBtYXkgc3RpbGwgaGF2ZSBhbiBpc3N1
ZS4gVGhpcyBjYW4gYmUgY29uZmlybWVkIGJ5IHZpZXdpbmcgdGhlIEhUVFAgc3RhdHVzIHdpdGgg
YSB0b29sIGxpa2Ugd2dldCBvciBjVVJMLiBJZiB1c2luZyBjVVJMLCB1c2UgdGhlIGZvbGxvd2lu
ZyBjb21tYW5kIGFuZCBub3RlIHRoZSBIVFRQIHN0YXR1cyBjb2RlIGluIHRoZSBmaXJzdCBsaW5l
IG9mIG91dHB1dDoNCg0KY3VybCAtQSAiTW96aWxsYS80LjAiIC1pTCBbVVJMXQ0KDQo1LjkuNjUu
NjcgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDov
L3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0
cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGku
Y29tLnVhL2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3Zz
dGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVh
L2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3ZzdGkuY29t
LnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNz
ZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3ZzdGkuY29tLnVhL2Ns
YXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5k
eC5waHBhY3Rpb25zdGF0dXMgLCANCg0KVGhhbmsgeW91IGZvciB5b3VyIGltbWVkaWF0ZSBhdHRl
bnRpb24gYW5kIGFjdGlvbi4gUGxlYXNlIGNvbnRhY3QgdXMgYXMgc29vbiBhcyB5b3UgcmVjZWl2
ZSB0aGlzIGFuZCBzdGF5IGluIGNvbnRhY3QgYXMgd2Ugd29yayB0b2dldGhlciB0byByZXNvbHZl
IHRoZXNlIGlzc3Vlcy4NClJlZ2FyZHMsDQoNCkFidXNlIFRlYW0NCkJhbmsgb2YgQW1lcmljYQ0K
Ci0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0t
LS0tLS0tLS0tLS0tLS0KVGhpcyBtZXNzYWdlLCBhbmQgYW55IGF0dGFjaG1lbnRzLCBpcyBmb3Ig
dGhlIGludGVuZGVkIHJlY2lwaWVudChzKSBvbmx5LCBtYXkgY29udGFpbiBpbmZvcm1hdGlvbiB0
aGF0IGlzIHByaXZpbGVnZWQsIGNvbmZpZGVudGlhbCBhbmQvb3IgcHJvcHJpZXRhcnkgYW5kIHN1
YmplY3QgdG8gaW1wb3J0YW50IHRlcm1zIGFuZCBjb25kaXRpb25zIGF2YWlsYWJsZSBhdCBodHRw
Oi8vd3d3LmJhbmtvZmFtZXJpY2EuY29tL2VtYWlsZGlzY2xhaW1lci4gICBJZiB5b3UgYXJlIG5v
dCB0aGUgaW50ZW5kZWQgcmVjaXBpZW50LCBwbGVhc2UgZGVsZXRlIHRoaXMgbWVzc2FnZS4K

В прошлый раз проверка на вирусы ничего не дала...

Как можно найти, где сидит зараза?

DV
На сайте с 01.05.2010
Offline
644
DenisVS
#1

Логи настроить и мониторить.

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
M
На сайте с 19.01.2011
Offline
65
mvolgin
#2

смена серверов не поможет наймите админа.

________________________ я больше не хостер ....
Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
#3
DenisVS:
Логи настроить и мониторить.

Логи на сервере имеются.

Нужны какие-то специальные? Что-то конкретное логировать?

После настройки логов, что мониторить, что смотреть?

DV
На сайте с 01.05.2010
Offline
644
DenisVS
#4

Логи вашего почтового сервера

M
На сайте с 01.12.2009
Offline
235
madoff
#5

шелы небось не давно чистил такое.

Администратор Linux,Freebsd. построения крупных проектов.
P
На сайте с 16.03.2009
Offline
144
poiuty
#6

/var/log тут логи смотреть

Так же в PHP 5.3 можно включить mail.log

Абуза в base64


Abuse Team,
We have been made aware that the following IP addresses that you appear to host may have been used in recent cyber attacks. We have been informed these compromises may be a result of a Joomla vulnerability, and if not patched will simply be re-infected.
We request that you investigate these IP addresses to identify any malicious activity. If you are able to confirm suspicious activity, please take appropriate action to disable the malware, patch the vulnerability or remove the devices from the network.
Note: All IPs/URLs below have been confirmed as active just prior to this notification being sent. If you feel action has already been taken please reconfirm by checking the spelling/grammar of the 404 message returned (“404 Not Foun derrer” vs. “404 Not Found Error”). If you are still receiving the “404 Not Foun derrer” error message, that device may still have an issue. This can be confirmed by viewing the HTTP status with a tool like wget or cURL. If using cURL, use the following command and note the HTTP status code in the first line of output:

curl -A "Mozilla/4.0" -iL

5.9.65.67 http://vsti.com.ua/classes/indx.php, 5.9.65.67 http://vsti.com.ua/classes/indx.phpactionstatus , 5.9.65.67 http://vsti.com.ua/classes/indx.php, 5.9.65.67 http://vsti.com.ua/classes/indx.phpactionstatus , 5.9.65.67 http://vsti.com.ua/classes/indx.php, 5.9.65.67 http://vsti.com.ua/classes/indx.phpactionstatus , 5.9.65.67 http://vsti.com.ua/classes/indx.php, 5.9.65.67 http://vsti.com.ua/classes/indx.phpactionstatus , 5.9.65.67 http://vsti.com.ua/classes/indx.php, 5.9.65.67 http://vsti.com.ua/classes/indx.phpactionstatus ,

Thank you for your immediate attention and action. Please contact us as soon as you receive this and stay in contact as we work together to resolve these issues.
Regards,

Abuse Team
Bank of America

----------------------------------------------------------------------
This message, and any attachments, is for the intended recipient(s) only, may contain information that is privileged, confidential and/or proprietary and subject to important terms and conditions available at http://www.bankofamerica.com/emaildisclaimer. If you are not the intended recipient, please delete this message.
M
На сайте с 01.12.2009
Offline
235
madoff
#7
DenisVS:
Логи вашего почтового сервера

наврядли ты там что-то увидишь.

---------- Добавлено 22.12.2012 в 00:02 ----------

poiuty - во точно такое ;)

Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#8

Смею предположить, что CMS - Joomla ?

Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
#9
Electronn:
Смею предположить, что CMS - Joomla ?

Движки разные стоят, в большинстве случаев она. Апдейты актуальные.

Что касается vsti.com.ua - там даже домен просрочен, но там стоял shop-script вроде так называется, старый старый без обновлений...

Но я не могу понять, если скрипты запускаются с него, то как они это делают, если домен отключен...

Дальше, почтовые логи есть, только что в них искать не понятно...

Есть там куча записей такого типа:

Dec 21 23:17:36 server0 postfix/smtpd[9443]: connect from arribaserver.webdesignconsortium.com[204.19.134.210]
Dec 21 23:17:36 server0 postfix/smtpd[9443]: NOQUEUE: reject: RCPT from arribaserver.webdesignconsortium.com[204.19.134.210]: 450 4.1.1 <949C64895@vipyalta.ru>: Recipient address rejected: unverified address: unknown user: "devnull"; from=<> to=<949C64895@vipyalta.ru> proto=ESMTP helo=<arribaserver.webdesignconsortium.com>
Dec 21 23:17:37 server0 postfix/smtpd[9443]: disconnect from arribaserver.webdesignconsortium.com[204.19.134.210]
Dec 21 23:17:38 server0 postfix/smtpd[13280]: connect from unknown[188.241.177.99]
Интернет-витрина. Какую CMS выбрать? На каком движке лучше Shop script 5 vs
Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#10

Ну если сайты внутри одного пользователя, то достанется всем его сайтам.

domain.ru/images/stories появляются файлы stroy.php или stroy.png

так же возможны файлы zeroday.php и .cache_*.php

Вообще по идее скорее всего у вас заражены все js файлы.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий