- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте, уважаемые форумчане!
Столкнулся со следующей проблемой..
Есть дедик на Linux/FreeBSD, на нем размещено более сотни сайтов. Сайты разные, разные CMS..
Через фтп/аккаунт одного сайта, на другой залезть невозможно. Периодически через уязвимости движков взламывают то один то другой сайт. В последнее время при взломах начали размещать в папках взломанного сайта системы для спам-рассылки. О том что на дедике размещена такая система я узнаю только когда айпишник сервера попадает в стоп-листы почтовых служб (проверяем тут - http://www.senderbase.org) и перестают отправляться письма с почтовых акков сервера.
Приходится сливать все сайты и искать нечисть просто по названию файлов, т.к. хостер не предоставляет никакой статистики, которая позволила бы определить подозрительную активность.
Однако после последнего взлома и попадания в стоп-листы, проверив файлы поиском - к сожалению ничего не нашел, хотя спам 100% рассылается, и рассылается именно с нашего IP.
Перепроверять сотни тысяч файлов вручную - конечно не вариант. Посоветуйте пожалуйста, как быть в данной ситуации. Чем можно найти эту спам-систему?
Спасибо.
Смотрите логи почтовика, что отправляется и откуда. Также посмотрите список процессов, нет ли там ничего левого. Чтобы предупредить в будующим посмотрите в сторону софта типа http://www.rfxn.com/projects/linux-malware-detect/ (он детектит всякую нечисть на этапе хака по inotify) или mod_security.
rijy, скоро придут те, кто сделает это за деньги :D, ничего сложного в этом нет, натолкну на мысли: надо маркировать исходящую почту, есть два варианта вообще попадания в очередь вашей почты, которая исходит из почтового сервера, первый вариант, это через SMTP авторизацию, т.е для легальных почтовых клиентов, второй вариант, это всякие функции mail() и прочие, которые ставят в очередь почту локально. Могут быть конечно и другие способы попадания в очередь, но это не отсюда я думаю (например relay), так вот в первом случае, когда происходит SMTP авторизация, каждое письмо обладает в хидере информацией о том, кто авторизировался, а в случае работы приложений php/cgi ... и.т.п маркировать надо почту на стадии самого интерпретатора... для PHP Есть патч mail-headers, что-то подобное полагаю есть и для cgi... в случае mail-headers каждое письмо поставленное в очередь вашего почтового сервера будет содержать доп. информацию содержащую полный путь к сценарию который и породил это письмо. Можно писать простейшие враперы ан любом языке, но при опытных взломах.... их могут обходить, верный путь это patch для php (mail-headers).
Еще как вариант можно рассмотреть такой вид настройки, при которой например поставить в очередь почту локально будет вообще невозможно, допускаться будет почта только от relayhosts или от тех кто прошел smtp авторизацию.
Варианты решения есть, надо только подобрать оптимальный ;) а вечно искать шелы - это как минимум странно, у меня уже сценарии готовы под мои MTA для того что бы парсить эти хидеры и сразу смотреть где "зараза".... :)
Все очень просто
Настроить лимит на отправку почты
Всех кто превышает лимит - блокировать отправку до выяснения подробностей
Что бы существенно усложнить жизнь взломщикам нужно.
1) владелец всех папок и файлов должен быть пользователь отличный от пользователя, который запускает апач.
2) Создать пользователя с именем FTP и его сделать владельцем всех папок.
3) Права всех папок сайта сделать 711, что бы апач даже список файлов и папок не мог получить.
4) Владельцем пользователя из под которого запускается апач сделать лишь папку в которую он закачивает файлы пользователей. В этой папке ОБЯЗАТЕЛЬНО ЗАПРЕТИТЬ выполнение php скриптов.
Есть дедик на Linux/FreeBSD
Таки Linux или BSD? Или физический сервер с разными виртуалками?
О том что на дедике размещена такая система я узнаю только когда айпишник сервера попадает в стоп-листы почтовых служб
Вот это и есть реальная проблема. Она *была* и ровным счетом никуда не делась. Если сервер администрируете вы - перестаньте, наймите для этого специалиста. Если ваш "хостер" - меняйте хостинг.
Вам нужно убедиться, что на каждом сервере, где есть скрипты:
1) они не могут сами выступать в роли почтового клиента (т.е. с соответствующими портами разрешено соединяться только вашему почтовику)
2) все скрипты настроены на отправку локально (mail() или через SMTP-авторизацию на вашем локальном почтовике)
3) почтовая очередь почтовика мониторится
4) настроены ограничения на количество сообщений (уже писали)
Что в логах?
ну можно сделать так ,что бы пхп логгил - какой именно скрипт отправляет почту
это всё х..ня!!!
Нужно:
1. найти нормального хостера
2. найти админа с ровными руками
Всё
p.s. толковый шелл/бекдор/руткит вы уй удилите