- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу

Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если можно еще вопрос, редактируя exim4.conf поставил dc_local_interfaces = ‘127.0.0.1’ dc_readhost = ‘localhost’
теперь в логах вроде оттаргается отправка левых спам писем
2016-06-03 18:43:55 H=114-36-191-144.dynamic.hinet.net (72.47.129.196) [114.37.191.144] F=<z2007tw@yahoo.com.tw> rejected RCPT <alan.a168@msa.hinet.net>: relay not permitted
Но изучая логи, обнаружил левый сайт в списке (vqoloveboli) и прочерк именно в то же время когда идет одна из попыток рассылки, подскажите, пожалуйста, что это означает
там где замазано мой урл
И еще один вопрос, обнаружил на сервере почтовые порты имеют статус в фаерволе "открыты", нужно ли сделать ограничение по Ip или открытые порты это норма?
заранее большое спасибо
Покажите вывод lsof -i |grep smtp
Можно закрыть еще 25 порт и разрешить его только локальному MTA. Примерно это будет выглядеть так -
iptables -A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 12 -j ACCEPT
#разрешить пользователю root
iptables -A OUTPUT -p tcp -m multiport --dports 25,465,587 -m owner --gid-owner 0 -j ACCEPT
#заблокировать остальных
iptables -D OUTPUT -p tcp -m multiport --dports 25,465,587 -j DROP
12 это номер группы пользователя mail.
Покажите вывод lsof -i |grep smtp
Добрый день!
lsof -i |grep smtp
exim4 8042 Debian-exim 3u IPv4 23020 0t0 TCP *:smtp (LISTEN)
exim4 8042 Debian-exim 4u IPv4 23021 0t0 TCP *:ssmtp (LISTEN)
Можно закрыть еще 25 порт и разрешить его только локальному MTA. Примерно это будет выглядеть так -
12 это номер группы пользователя mail.
Спасибо, понял, попробую сделать
В exim на два файла весь лог сейчас забит такими записями
2016-06-03 23:12:13 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:13 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:14 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-03 23:12:15 login authenticator failed for (User) [194.189.117.185]: 535 Incorrect authentication data
2016-06-04 07:20:56 Start queue run: pid=4910
2016-06-04 07:20:56 End queue run: pid=4910
2016-06-04 07:21:44 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data
2016-06-04 07:50:56 Start queue run: pid=5214
2016-06-04 07:50:56 End queue run: pid=5214
2016-06-04 08:03:44 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data
2016-06-04 08:20:56 Start queue run: pid=5594
2016-06-04 08:20:56 End queue run: pid=5594
2016-06-04 08:50:56 Start queue run: pid=6006
2016-06-04 08:50:56 End queue run: pid=6006
2016-06-04 09:20:56 Start queue run: pid=6408
2016-06-04 09:20:56 End queue run: pid=6408
2016-06-04 09:50:56 Start queue run: pid=6710
2016-06-04 09:50:56 End queue run: pid=6710
2016-06-04 10:20:56 Start queue run: pid=7040
2016-06-04 10:20:56 End queue run: pid=7040
2016-06-04 10:50:56 Start queue run: pid=7334
2016-06-04 10:50:56 End queue run: pid=7334
2016-06-04 11:20:56 Start queue run: pid=7623
2016-06-04 11:20:56 End queue run: pid=7623
2016-06-04 11:50:56 Start queue run: pid=8221
2016-06-04 11:50:56 End queue run: pid=8221
2016-06-04 12:20:56 Start queue run: pid=8734
2016-06-04 12:20:56 End queue run: pid=8734
2016-06-04 12:50:56 Start queue run: pid=9234
2016-06-04 12:50:56 End queue run: pid=9234
2016-06-04 13:08:59 login authenticator failed for (User) [194.189.117.157]: 535 Incorrect authentication data
2016-06-04 13:20:56 Start queue run: pid=9546
2016-06-04 13:20:56 End queue run: pid=9546
Правильно ли я понимаю что это идет подбор авторизации? Только какой и зачем. Нагуглил что нужно # yum install fail2ban и настроить его. Верно ли?
И если не затруднит, подсказать мне по поводу 12 моего поста (логи).
Спасибо
Buildbuildd, скорей всего у Вас взломали пароль к одному ящику и через него рассылали. fail2ban поможет.
скорей всего у Вас взломали пароль к одному ящику и через него рассылали.
Есть вариант, что взломали не ящик (данный не могли взломать - его просто не было), а сайт. Спамят через скрипты.
Buildbuildd, портянки выкладывай в ббкоде [code][/code]
Buildbuildd, не забудьте ответить хостеру, что вы не игнорируете письмо, а разбираетесь (хотя бы). а то через неделю неответа ваш аккаунт может быть заблокирован.
Buildbuildd, скорей всего у Вас взломали пароль к одному ящику и через него рассылали. fail2ban поможет.
Добрый день! Не, пароль к ящику не взломали так как того ящика с которого идет спам не существует , он только был указан на сервере как админ ящик.
Сейчас я удалил все записи о ящике и поставил ограничения. Вроде спам прекратился, но идет попытка авторизации только к чему не понятно. Поставлю завтра fail2ban чтобы банились эти ip
---------- Добавлено 05.06.2016 в 00:20 ----------
Есть вариант, что взломали не ящик (данный не могли взломать - его просто не было), а сайт. Спамят через скрипты.
Buildbuildd, портянки выкладывай в ббкоде [code][/code]
Вот скорее всего это, но как найти этот скрипт? Прошелся айболитом по файлам,выдал ряд вариантов, но руками все проверил тревоги ложные, явных шелов или явных скриптов нет. Как можно найти эти скрипты? Несмотря на то, что сейчас прекратилось, хочется найти причину
Тоже гуглил нашел интересный способ на забугорном форуме, может кому пригодится , но у меня не вышло, (убрать 4 пробела w ww. inmotionhosting. com /support/email/exim/find-spam-script-location-with-exim)
там предлагается такая это grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n
мне не дает ответа никакого просто без реакции, хотя все вроде меня под свои пути логов и spool ( у меня Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64L)
Buildbuildd, портянки выкладывай в ббкоде [code][/code]
Сорри, понял
---------- Добавлено 05.06.2016 в 00:21 ----------
Buildbuildd, не забудьте ответить хостеру, что вы не игнорируете письмо, а разбираетесь (хотя бы). а то через неделю неответа ваш аккаунт может быть заблокирован.
Спасибо, им отписался еще в первый раз, думая что это спуффинг, а сейчас еще отписался что нашли причину и спам остановили.
На данный момент спам остановлен, но просто нон стопом идет такая фигня в exim логе
В логе авторизаций тоже подбор какой то идет постоянно
а в nginx access логе никаких явных подозрительных записей нет (кроме той что в 12 посте я выложил)
Вот скорее всего это, но как найти этот скрипт? Прошелся айболитом по файлам,выдал ряд вариантов, но руками все проверил тревоги ложные, явных шелов или явных скриптов нет. Как можно найти эти скрипты
Ну во первых айболитом сканить нужно в параноидальном режиме.
Во вторых - он не панацея.
Вот у меня был случай. Чистил клиенту сайт - да, нашлись дыры (как обычно - шаблоны с помойки), устранил, но спам не через них шел. А что получилось - спамерские скрипты были залиты вне документрут, а безобидные инклуды были уже в каталоге сайта. Ессно, их никакой антивирусник не найдёт.
Было что-то подобное. Exim остановил и Dovecot и о проблеме забыл. Почта тоже на яндексе. Письма ходят. Брутить перестали. Сталкивался когда почта и ФТП имеют одни данные при создании аккаунта через панель DA.
Какие логи могут показать как идет спам, тоесть как найти через что рассылается?
Не далее как вчера свой сервер отчистил от подобной дряни. Поискать попробуй в логах апача access
Четко прослеживается по POST запросам к вредоносному скрипту
Еще, сам скрипт (по крайней мере у меня так было) содержит eval/*