В php 5. 2 есть патч, который добавляет скрипт в заголовок письма - Администрирование серверов

спам рассылка, найти и наказать

Plutishe · 2014-07-23T16:09:20.0000000Z

а если серьёзно, вопрос созрел: в очереди порядка 130 замороженных сообщений. (exim) по логам долбят imap, pop3, ip турции, ирландии чувствую что спамят: 31h 19K 1X9WE8-0003S6-97 <> pcerosk@elrond.atlantis.sk 26h 7.6K 1X9aGf-00034H-Ga <> admin@domino-club.ru 10h 3.7K 1X9p91-0005AK-Tp <> elenam@trtk.ru 10h 3.3K 1X9pNi-0005jj-VR <> krilov@trtk.ru 9h 3.4K 1X9qxP-0000K2-Pj <> anezhka@trtk.ru 5h 93K 1X9u1t-0004WF-Lt <> claudioabaq241@kgtrk.ru например заголовок последнего: 1X9u1t-0004WF-Lt-H exim 93 93 <> 1406112253 0 -ident exim -received_protocol local -aclc 8 0 -aclc 9 0 -body_linecount 1300 -allow_unqualified_recipient -allow_unqualified_sender -localerror XX 1 claudioabaq241@kgtrk.ru 149P Received: from exim by zx-spectrum-x86.org with local (Exim 4.63) id 1X9u1t-0004WF-Lt for claudioabaq241@kgtrk.ru; Wed, 23 Jul 2014 14:44:13 +0400 040 X-Failed-Recipients: info@XXXXXX.ru 029 Auto-Submitted: auto-replied 063F From: Mail Delivery System <Mailer-Daemon@zx-spectrum-x86.org> 028T To: claudioabaq241@kgtrk.ru 059 Subject: Mail delivery failed: returning message to sender 052I Message-Id: <E1X9u1t-0004WF-Lt@zx-spectrum-x86.org> 038 Date: Wed, 23 Jul 2014 14:44:13 +0400 Логи письма: 2014-07-23 14:44:13 Received from <> R=1X9u1o-0004W1-Tj U=exim P=local S=95520 2014-07-23 14:44:15 SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 14:44:15 claudioabaq241@kgtrk.ru R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 15:07:35 SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 15:07:35 claudioabaq241@kgtrk.ru R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 16:14:14 SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 16:14:14 claudioabaq241@kgtrk.ru R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 17:13:01 SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 17:13:01 claudioabaq241@kgtrk.ru R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 19:07:26 SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist 2014-07-23 19:07:26 claudioabaq241@kgtrk.ru R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<> SIZE=97854: host mail.kgtrk.ru [217.74.167.98]: 451 <zx-spectrum-x86.org> is invalid or DNS says does not exist Банальный вопрос, что это? Лог exim (main.log): 2014-07-23 19:54:45 1X9ysC-0002N6-0D removed by root 2014-07-23 19:54:45 1X9ysC-0002N6-0D Completed 2014-07-23 20:03:53 1X9z1F-0002Ww-9k <= zakaz@pechat-veka.ru H=static.163.19.9.176.clients.your-server.de (image.fastvps.ru) [176.9.19.163] P=esmtps X=TLSv1:AES256-SHA:256 S=152012 id=NTkyMDExMAAC7816070Y37BAMTQwNjEyOTgxOTU1MDg@zakazdo.ru from <zakaz@pechat-veka.ru> for info@XXXXXXXXXXXXX2.ru 2014-07-23 20:03:54 1X9z1F-0002Ww-9k == info@XXXXXXXXXXXXX2.ru R=procmail T=procmail_pipe defer (0): Child process of procmail_pipe transport returned 73 (could mean can't create output file) from command: /usr/bin/procmail 2014-07-23 20:03:54 1X9z1F-0002Ww-9k ** info@XXXXXXXXXXXXX2.ru <info@XXXXXXXXXXXX2.ru>: retry timeout exceeded 2014-07-23 20:03:54 1X9z1G-0002X4-CM <= <> R=1X9z1F-0002Ww-9k U=exim P=local S=108513 from <> for zakaz@pechat-veka.ru 2014-07-23 20:03:54 1X9z1F-0002Ww-9k Completed 2014-07-23 20:03:56 1X9z1G-0002X4-CM ** zakaz@pechat-veka.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [213.180.193.89]: 554 5.7.1 Message rejected under suspicion of SPAM taGhoore4e-3s8icIJP 2014-07-23 20:03:56 1X9z1G-0002X4-CM Frozen (delivery error message) 2014-07-23 20:04:18 1X9z1c-0002XD-KO <= nzp@33.ru H=mail.klsc.co.kr [121.152.73.14] P=esmtps X=TLSv1:AES256-SHA:256 S=50207 id=D4D167343FEBC4D70B0E47FA1EEE64B4@rybkasl from <nzp@33.ru> for info@XXXXXXXXX.ru 2014-07-23 20:04:18 1X9z1c-0002XD-KO ** XXXXX@yandex.ru <info@XXXXXXX.ru> R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [93.158.134.89]: 554 5.7.1 Message rejected under suspicion of SPAM 1RJ1p4GtDj-4I0mI4D5 2014-07-23 20:04:18 1X9z1e-0002XI-My <= <> R=1X9z1c-0002XD-KO U=exim P=local S=51189 from <> for nzp@33.ru 2014-07-23 20:04:18 1X9z1c-0002XD-KO Completed 2014-07-23 20:04:19 1X9z1e-0002XI-My == nzp@33.ru R=dnslookup T=remote_smtp defer (-44): SMTP error from remote mail server after RCPT TO:<nzp@33.ru>: host mx.ibox.ru [213.248.34.8]: 450 <nzp@33.ru>: Recipient address rejected: Greylisted for 300 seconds (see https://control.ibox.ru/noc/gl/)

205

Plutishe

23 июля 2014, 20:06

#11

kxk:
Plutishe, Вы порт используете?

да вроде нет.

LMD сканирует, может чего и найдёт, затем поставлю по вашему совету патч, и спамеры какие то осторожные, засылают по письму в 10-20 минут. 😮

---------- Добавлено 24.07.2014 в 00:07 ----------

kgtu5:
ну аи из простого - ай-болитом прогони сайты.

при выключении exim рассылка прекращается?

не из простого )

сайтов добрых несколько десятков с поддоменами 🙅

Хостинг за РУБЛИ (http://yousite.ru/h) | VPS/VDS на платформе: XEN c администрированием (http://yousite.ru/v) | Регистрация доменов (http://yousite.ru/d)

Как Google сканирует страницы Google сканирует ссылки только В Ahrefs выяснили, насколько

M

92

megadimon

23 июля 2014, 20:14

#12

включите mail.log

205

Plutishe

23 июля 2014, 20:22

#13

LMD:

malware detect scan report for zx-spectrum-x86.org:

SCAN ID: 072314-2343.27654

TIME: Jul 24 00:21:00 +0400

PATH: /

TOTAL FILES: 214183

TOTAL HITS: 4

TOTAL CLEANED: 0



NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 072314-2343.27654

FILE HIT LIST:

{MD5}php.exe.globals.3862 : /usr/src/redhat/BUILD/php-5.2.17/ext/standard/tests/general_functions/bug50732.phpt

{HEX}php.exe.globals.393 : /usr/src/redhat/BUILD/php-5.2.17/ext/spl/tests/DirectoryIterator_getGroup_basic.phpt

{HEX}php.exe.globals.393 : /usr/src/redhat/BUILD/php-5.2.17/ext/spl/tests/DirectoryIterator_getOwner_basic.phpt

{HEX}gzbase64.inject.unclassed.15 : /root/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed

---------- Добавлено 24.07.2014 в 00:34 ----------

megadimon:
включите mail.log

mail.add_x_header = On

mail.log = /var/log/php.mail.log

видимо не работает в php 5.2

---------- Добавлено 24.07.2014 в 00:46 ----------

kxk:
Plutishe, И снова Cent os?

По сабжу поставьте mail patch чтобы знать откуда шлют, те сам спаммерский скрипт (есть само по себе с isp lite 4 + Debian 7).

Cent + ISP4

С патчем придётся повозиться, скачал для версии 5.2, теперь думаю как его применить 😕

990

kxk

23 июля 2014, 20:54

#14

Plutishe, CENT OS + php 5.2 вы идеальная жертва:)

Ваш DEVOPS

M

92

megadimon

24 июля 2014, 06:55

#15

kxk:
Plutishe, CENT OS + php 5.2 вы идеальная жертва:)

только не нужно дырявость скриптов привязывать к ОС :)

M

235

madoff

24 июля 2014, 07:40

#16

1) почему все думают что тут спам phpmail ?

2) TC - может через вас релееят ? может сломали smtp - что угодно может быть попробуйте debug exim.

3) Смотрите в очередь напрямую не кладут письма без phpmail, но тема уже теряет последовательность и тут я думаю вам нужен админ. а не форум.

Администратор Linux,Freebsd. построения крупных проектов.

Отзывы, предложение, пожелания к Рассылки / рассылка Блокировка 25 порта провайдером

822

Andreyka

24 июля 2014, 10:44

#17

Для php 5.2 есть патч, который добавляет скрипт в заголовок письма

Не стоит плодить сущности без необходимости

990

kxk

24 июля 2014, 17:54

#18

megadimon, Там и ОС старая поди в 99% случаев именно так!

205

Plutishe

24 июля 2014, 18:51

#19

kxk:
megadimon, Там и ОС старая поди в 99% случаев именно так!

5ка )

Саппорт решил мою проблему:

"Добавили необходимость аутентификации при отправке писем и сделали ее возможной только для локальных доменов(добавленных на сервере)."

За что им респект и уважуха, как выражается поколение некст.

Всем спасибо за то не прошли мимо проблемы!

В Gmail для Android Gmail вводит новые требования WhatsApp добавил новую настройку

990

kxk

24 июля 2014, 19:07

#20

Plutishe, Ну что и требовалось доказать, устаревшая ОС+PHP

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Вышел новый Яндекс Браузер с YandexGPT и YandexART

спам рассылка, найти и наказать