Установить патч mail header patch - Администрирование серверов

Спамят с моего сервера, как найти источник?

Romaldo · 2012-12-21T19:44:23.0000000Z

Здравствуйте! Точно такая же проблема была на старом моем сервере. Вроде нашли папку сайта, с которой рассылался спам. Позже переехал на новый сервер, перенес проекты, проработал пару месяцев и вновь проблема... Получаю от хостеров такое письмо: К сожалению, вынуждены сообщить Вам, что на Ваш сервер поступила жалоба от Датацентра. Пожалуйста, сообщите, когда Ваши администраторы будут на месте и смогут локализовать проблему. С подробностями жалобы Вы можете ознакомиться ниже. Return-path: Envelope-to: abuse@hetzner.de Delivery-date: Wed, 19 Dec 2012 19:20:45 +0100 Received: from [171.161.160.26] (helo=txdmzmailmx08.bankofamerica.com) by lms.your-server.de with esmtps (TLSv1:AES256-SHA:256) (Exim 4.74) (envelope-from ) id 1TlOG4-0001Ik-M0 for abuse@hetzner.de; Wed, 19 Dec 2012 19:20:45 +0100 Received: from txdmzmailmx07.bankofamerica.com ([171.180.168.234]) by txdmzmailmx08.bankofamerica.com (8.14.5/8.14.5) with ESMTP id qBJIKYJv015129 for ; Wed, 19 Dec 2012 18:20:35 GMT DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bankofamerica.com; s=corp1210; t=1355941235; bh=/N+Ah6ZukNsD+zL1m0IyW63DKTRZZxNbS6a2AAtM+H8=; h=Date:From:Subject:To:Message-id:MIME-version:Content-type: Content-transfer-encoding; b=0UvEOEotTzyB2IGCBmdOdZnMZubHtdCF2GsCKhFogg4oCumPZoO6tb4MC5D1stTBA 9ry00enJTb7xKcW2shcy8t4O8dV4/ybjgc1YFuj1r2IshRKJYi8kmR4i16Abo05K3f QYQf8QH5CbkLPBL1fv3IQWnHslnCMe72qqdIbM8I= Received: from memtx2mta03.bankofamerica.com (memtx2mta03.bankofamerica.com [171.186.232.156]) by txdmzmailmx07.bankofamerica.com (8.14.5/8.14.5) with ESMTP id qBJIKHkB021582 for ; Wed, 19 Dec 2012 18:20:34 GMT Date: Wed, 19 Dec 2012 13:20:32 -0500 From: abuse-reply@bankofamerica.com Subject: ATAC: #21706 Malware spoofing 404 error: 5.9.65.67 To: abuse@hetzner.de Message-id: MIME-version: 1.0 Content-type: text/plain; charset="utf-8" Content-transfer-encoding: base64 X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10432:5.9.8327,1.0.431,0.0.0000 definitions=2012-12-19_08:2012-12-19,2012-12-19,1970-01-01 signatures=0 X-Proofpoint-Spam-Reason: safe X-Virus-Scanned: Clear (ClamAV 0.97.5/15931/Wed Dec 19 17:37:38 2012) X-Spam-Score: -2.2 (--) Delivered-To: he1-abuse@hetzner.de DQpBYnVzZSBUZWFtLA0KV2UgaGF2ZSBiZWVuIG1hZGUgYXdhcmUgdGhhdCB0aGUgZm9sbG93aW5n IElQIGFkZHJlc3NlcyB0aGF0IHlvdSBhcHBlYXIgdG8gaG9zdCBtYXkgaGF2ZSBiZWVuIHVzZWQg aW4gcmVjZW50IGN5YmVyIGF0dGFja3MuIFdlIGhhdmUgYmVlbiBpbmZvcm1lZCB0aGVzZSBjb21w cm9taXNlcyBtYXkgYmUgYSByZXN1bHQgb2YgYSBKb29tbGEgdnVsbmVyYWJpbGl0eSwgYW5kIGlm IG5vdCBwYXRjaGVkIHdpbGwgc2ltcGx5IGJlIHJlLWluZmVjdGVkLg0KV2UgcmVxdWVzdCB0aGF0 IHlvdSBpbnZlc3RpZ2F0ZSB0aGVzZSBJUCBhZGRyZXNzZXMgdG8gaWRlbnRpZnkgYW55IG1hbGlj aW91cyBhY3Rpdml0eS4gSWYgeW91IGFyZSBhYmxlIHRvIGNvbmZpcm0gc3VzcGljaW91cyBhY3Rp dml0eSwgcGxlYXNlIHRha2UgYXBwcm9wcmlhdGUgYWN0aW9uIHRvIGRpc2FibGUgdGhlIG1hbHdh cmUsIHBhdGNoIHRoZSB2dWxuZXJhYmlsaXR5IG9yIHJlbW92ZSB0aGUgZGV2aWNlcyBmcm9tIHRo ZSBuZXR3b3JrLg0KTm90ZTogIEFsbCBJUHMvVVJMcyBiZWxvdyBoYXZlIGJlZW4gY29uZmlybWVk IGFzIGFjdGl2ZSBqdXN0IHByaW9yIHRvIHRoaXMgbm90aWZpY2F0aW9uIGJlaW5nIHNlbnQuICBJ ZiB5b3UgZmVlbCBhY3Rpb24gaGFzIGFscmVhZHkgYmVlbiB0YWtlbiBwbGVhc2UgcmVjb25maXJt IGJ5IGNoZWNraW5nIHRoZSBzcGVsbGluZy9ncmFtbWFyIG9mIHRoZSA0MDQgbWVzc2FnZSByZXR1 cm5lZCAo4oCcNDA0IE5vdCBGb3VuIGRlcnJlcuKAnSB2cy4g4oCcNDA0IE5vdCBGb3VuZCBFcnJv cuKAnSkuICBJZiB5b3UgYXJlIHN0aWxsIHJlY2VpdmluZyB0aGUg4oCcNDA0IE5vdCBGb3VuIGRl cnJlcuKAnSBlcnJvciBtZXNzYWdlLCB0aGF0IGRldmljZSBtYXkgc3RpbGwgaGF2ZSBhbiBpc3N1 ZS4gVGhpcyBjYW4gYmUgY29uZmlybWVkIGJ5IHZpZXdpbmcgdGhlIEhUVFAgc3RhdHVzIHdpdGgg YSB0b29sIGxpa2Ugd2dldCBvciBjVVJMLiBJZiB1c2luZyBjVVJMLCB1c2UgdGhlIGZvbGxvd2lu ZyBjb21tYW5kIGFuZCBub3RlIHRoZSBIVFRQIHN0YXR1cyBjb2RlIGluIHRoZSBmaXJzdCBsaW5l IG9mIG91dHB1dDoNCg0KY3VybCAtQSAiTW96aWxsYS80LjAiIC1pTCBbVVJMXQ0KDQo1LjkuNjUu NjcgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDov L3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0 cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGku Y29tLnVhL2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3Zz dGkuY29tLnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVh L2NsYXNzZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3ZzdGkuY29t LnVhL2NsYXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNz ZXMvaW5keC5waHBhY3Rpb25zdGF0dXMgLCA1LjkuNjUuNjcgaHR0cDovL3ZzdGkuY29tLnVhL2Ns YXNzZXMvaW5keC5waHAsIDUuOS42NS42NyAgaHR0cDovL3ZzdGkuY29tLnVhL2NsYXNzZXMvaW5k eC5waHBhY3Rpb25zdGF0dXMgLCANCg0KVGhhbmsgeW91IGZvciB5b3VyIGltbWVkaWF0ZSBhdHRl bnRpb24gYW5kIGFjdGlvbi4gUGxlYXNlIGNvbnRhY3QgdXMgYXMgc29vbiBhcyB5b3UgcmVjZWl2 ZSB0aGlzIGFuZCBzdGF5IGluIGNvbnRhY3QgYXMgd2Ugd29yayB0b2dldGhlciB0byByZXNvbHZl IHRoZXNlIGlzc3Vlcy4NClJlZ2FyZHMsDQoNCkFidXNlIFRlYW0NCkJhbmsgb2YgQW1lcmljYQ0K Ci0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0t LS0tLS0tLS0tLS0tLS0KVGhpcyBtZXNzYWdlLCBhbmQgYW55IGF0dGFjaG1lbnRzLCBpcyBmb3Ig dGhlIGludGVuZGVkIHJlY2lwaWVudChzKSBvbmx5LCBtYXkgY29udGFpbiBpbmZvcm1hdGlvbiB0 aGF0IGlzIHByaXZpbGVnZWQsIGNvbmZpZGVudGlhbCBhbmQvb3IgcHJvcHJpZXRhcnkgYW5kIHN1 YmplY3QgdG8gaW1wb3J0YW50IHRlcm1zIGFuZCBjb25kaXRpb25zIGF2YWlsYWJsZSBhdCBodHRw Oi8vd3d3LmJhbmtvZmFtZXJpY2EuY29tL2VtYWlsZGlzY2xhaW1lci4gICBJZiB5b3UgYXJlIG5v dCB0aGUgaW50ZW5kZWQgcmVjaXBpZW50LCBwbGVhc2UgZGVsZXRlIHRoaXMgbWVzc2FnZS4K В прошлый раз проверка на вирусы ничего не дала... Как можно найти, где сидит зараза?

185

Romaldo

21 декабря 2012, 21:01

#11

Electronn:
Ну если сайты внутри одного пользователя, то достанется всем его сайтам.

domain.ru/images/stories появляются файлы stroy.php или stroy.png
так же возможны файлы zeroday.php и .cache_*.php

Вообще по идее скорее всего у вас заражены все js файлы.

Каждый сайт под отдельным пользователем.

Это делалось (разносились сайты по пользователям), когда не было понятно, кто тянет на себя память и т.д.

По поводу images/stories - как-то было дело... Туда заливались псевдо сайты типа узнай фамилию, узнай дату, и т.д.

Сейчас пробежался, там чисто...

С логом то че делать?

В Instagram теперь можно Instagram запустил новую функцию Пользователи жалуются на проблемы

91

Electronn

21 декабря 2012, 21:28

#12

romagromov:
Каждый сайт под отдельным пользователем.
Это делалось (разносились сайты по пользователям), когда не было понятно, кто тянет на себя память и т.д.

По поводу images/stories - как-то было дело... Туда заливались псевдо сайты типа узнай фамилию, узнай дату, и т.д.

Сейчас пробежался, там чисто...

С логом то че делать?

По логам можете узнать во сколько отправлялась почта.

Рекомендую установить патч mail header patch и тогда будете знать, каким скриптом отправляется почта.

Как раз вчера сегодня началась нездоровая активносить на джумле. Сайтыч на ней ломают пачками, причем сайты обновленные до упора. Помогает отключение JCE и чистка js ( там в конце файла добавляют свой вредоносный код )

1

В Drupal обнаружена критическая Безопасный поиск Яндекса предупреждает Почта Mail.Ru повышает безопасность

822

Andreyka

22 декабря 2012, 02:41

#13

Советую потратить на специалиста, а то так и будете каждый раз деньги на нового хостера тратить

Не стоит плодить сущности без необходимости

D

1108

Dram

22 декабря 2012, 06:19

#14

ТОже самое было - вчера вычистил. Дыра в компоненте JCE для Joomla 1.5

Файл появляются как описал Electronn - в папке /images/stories

Поломали три сайта - на которые редко заходил и на которых стоял JCE годовалой давности.

Вот статистика спама - сломали меня еще в мае этого года. Заметил только вчера

png postfix_mailqueue-week.png

png postfix_mailqueue-year.png

Google выпустил плагин Web Подружи Joomla! с SEO Facebook скопировал Live Stories

M

235

madoff

22 декабря 2012, 16:56

#15

Andreyka:
Советую потратить на специалиста, а то так и будете каждый раз деньги на нового хостера тратить

Деньги то ладно но то что тут обсуждают почту это ещё веселее чем я думал. 🍿

TC - вам прислали абузу и в абузе чётко видно проблему. Вам её ещё и расшифровали.

Администратор Linux,Freebsd. построения крупных проектов.

185

Romaldo

23 декабря 2012, 11:00

#16

madoff:
Деньги то ладно но то что тут обсуждают почту это ещё веселее чем я думал. 🍿

TC - вам прислали абузу и в абузе чётко видно проблему. Вам её ещё и расшифровали.

Если вы про папку с сайтом vsti.com.ua - то ее на сервере нет уже как пару месяцев...

WD

7

WolfDiesel

25 декабря 2012, 18:40

#17

Нужно погрепать все сайты на наличие признаков шелла.

Например gerp "nuke" :D

822

Andreyka

26 декабря 2012, 03:37

#18

Обфускация этого не допустит

[Удален]

26 декабря 2012, 06:39

#19

maldet должен найти шелы и прочую нечисть

485

Romka_Kharkov

26 декабря 2012, 15:56

#20

poiuty:

Так же в PHP 5.3 можно включить mail.log

5.3 умеет отдельно вызовы mail() складывать в логи?

---------- Добавлено 26.12.2012 в 20:02 ----------

ТС, лично я считаю, что самый толковый совет в данной теме, это установить патч для php (mail headers) он покажет какой именно скрипт отправляет сообщение, а дальше будет проще искать и сразу станет понятно что искать.

После установки патча , в хидеры отправляемых вами писем будет добавлена строка типа этой:


056  X-PHP-Script: www.xxx.ru/index.php for x.x.x.x

Таким образом каждое письмо отправленное PHP будет маркироваться, а вот если после этого вы в очереди увидите те же письма но без хидера, значит их шлет вовсе не PHP.... Надо будет изучать дальше! Это могут быть запущенные perl скрипты на вашем сервере в виде демонов, это могут быть легальные пользователи которые авторизуются.... это могут быть забытые Relay подсети :)

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)

Странная очередь с писем Как найти нечисть на Рассылка спама (заблокировали хостинг)

Вышел новый Яндекс Браузер с YandexGPT и YandexART

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

Спамят с моего сервера, как найти источник?