Buildbuildd

так в том то и дело что походу от нас идут письма (насколько я понял)

я через mailq увидел что в отправке на сервере висело несколько тысяч писем, а webmaster@domain это ящик как оказалось, который указан на сервере как админ ящик. Выше логи выложил. Пытаюсь понять как увидеть каким образом, через что идет рассылка , в логах по сути ничего.

Единственное что 2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru

тоесть рассылка как я понимаю идет с сервера раз локал, но откуда вообще не понятно также сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто

в реджект логах exim увидел еще такое, почти все письма идут с нескольких ip, может их заблокировать? или это фигня и ip могут меняться

2016-06-03 00:17:11 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ipa-hu@ipa-iac.org>: Sender rate overlimit - 989.0 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <tcrooks1@aol.com>: Sender rate overlimit - 987.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <djohnson@hollywoodfl.org>: Sender rate overlimit - 988.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ossaman@pacbell.net>: Sender rate overlimit - 989.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <rono@law.stetson.edu>: Sender rate overlimit - 990.6 / 1h / webmaster@мойдомен

2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <david.gambill@oscn.net>: Sender rate overlimit - 991.5 / 1h / webmaster@мойдомен

2016-06-03 00:17:21 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ultraslanhakan___@hotmail.com>: Sender rate overlimit - 992.2 / 1h / webmaster@мойдомен

2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <info@nursefamilypartnership.org>: Sender rate overlimit - 991.1 / 1h / webmaster@мойдомен

2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <facebook@largeanimal.com>: Sender rate overlimit - 992.1 / 1h / webmaster@мойдомен

2016-06-03 00:17:32 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <schnurrbryan@lcsdevelopmentics.com>: Sender rate overlimit - 992.4 / 1h / webmaster@мойдомен

Обнаружил что webmaster это системный ящик на сервере.

зашел ssh и через mailq посмотрел что висит вообще, пару тысяч писем висело, тоесть отправка идет получается с сервера и это не фейки

Как я понял отправка идет через exim4, сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто.

Также сделал netstat -apn | grep :25 и там established , это значит вредоносный скрипт рассылает?

в мейнлоге такие записи как раз отправки сегодня ночью

Какие логи могут показать как идет спам, тоесть как найти через что рассылается?

Заранее огромное спасибо

2016-06-03 06:26:42 1b8BWt-0000hF-Hv Message is frozen

2016-06-03 06:26:42 1b8XPo-0008GM-89 Message is frozen

2016-06-03 06:26:42 1b7sob-0003Qk-Rr Unfrozen by errmsg timer

2016-06-03 06:26:53 1b7sob-0003Qk-Rr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920813-ZTeWtIN4SN-QhdqZYbb

2016-06-03 06:26:53 1b7sob-0003Qk-Rr webmaster@мойдомен.ru: error ignored

2016-06-03 06:26:53 1b7sob-0003Qk-Rr Completed

2016-06-03 06:26:54 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:26:54 1b7T7E-0002jh-3i == diapurk@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:12 1b7raF-0004eb-Pu mail.merle-norman.net [77.95.250.10] Connection timed out

2016-06-03 06:27:12 1b7raF-0004eb-Pu == ptaylor@merle-norman.net R=dnslookup T=remote_smtp defer (110): Connection timed out

2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru

2016-06-03 06:27:28 1b8epM-0000zo-Vr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920848-G3fkY08rbT-RDxK4V5l

2016-06-03 06:27:28 1b8epM-0000zo-Vr Frozen (delivery error message)

2016-06-03 06:27:28 1b8T92-0006s0-A7 Message is frozen

2016-06-03 06:27:28 1b8Cju-0000Pi-6e Message is frozen

2016-06-03 06:27:29 1b88Gq-0006Mc-RB == ray@professionalstreetsports.org R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:29 1b8TWN-0002eF-Mf Message is frozen

2016-06-03 06:27:29 1b8WZl-0002h5-Nj Message is frozen

2016-06-03 06:27:29 1b89s5-0000Fh-UG Message is frozen

2016-06-03 06:27:29 1b7SRI-0000TV-Q0 SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1

2016-06-03 06:27:29 1b7SRI-0000TV-Q0 == clydemarymartin@aol.com R=dnslookup T=remote_smtp defer (0): SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1

2016-06-03 06:27:29 1b8epd-000105-Ew <= <> R=1b7SRI-0000TV-Q0 U=Debian-exim P=local S=1343 from <> for webmaster@мойдомен.ru

2016-06-03 06:27:40 1b8epd-000105-Ew ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [213.150.204.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920860-QDyr0QFhIe-RTZWN2bT

2016-06-03 06:27:40 1b8epd-000105-Ew Frozen (delivery error message)

2016-06-03 06:27:40 1b8Hvb-0003X5-DO Message is frozen

2016-06-03 06:27:40 1b8DoC-0001RC-Ae Message is frozen

2016-06-03 06:27:40 1b8FQT-0003HM-JX Message is frozen

2016-06-03 06:27:40 1b8DGZ-0007IR-N5 Message is frozen

2016-06-03 06:27:40 1b8Ub2-0003p3-7Z == caluckyme@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8G5a-00088a-Hs Message is frozen

2016-06-03 06:27:40 1b8XPo-0008GM-89 Message is frozen

2016-06-03 06:27:40 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8WRT-0001xv-5d Spool file is locked (another process is handling this message)

2016-06-03 06:27:40 1b8AZJ-0003z4-KM == genenyac@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8YMZ-0004ok-Kd Message is frozen

2016-06-03 06:27:40 1b8EgM-0007cj-AL Message is frozen

2016-06-03 06:27:40 1b7S9f-0008GK-E1 == cesawyer@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b7pBf-0000hi-8o Unfrozen by errmsg timer

2016-06-03 06:27:51 1b7pBf-0000hi-8o ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [77.88.21.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920671-dpnUR8Uvda-Rf2SPIiB

2016-06-03 06:27:51 1b7pBf-0000hi-8o webmaster@мойдомен.ru: error ignored

2016-06-03 06:27:51 1b7pBf-0000hi-8o Completed

2016-06-03 06:27:51 1b8XSt-0008UZ-Ar Message is frozen

2016-06-03 06:27:51 1b8BUh-0000Zp-RQ Message is frozen

2016-06-03 06:27:52 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b8UYN-0003If-EP Message is frozen

2016-06-03 06:27:52 1b8Yz1-0001U3-0B Message is frozen

2016-06-03 06:27:52 1b8Bh4-0001vh-42 Message is frozen

2016-06-03 06:27:52 1b8Vzt-0004sO-Rw Message is frozen

2016-06-03 06:27:52 1b8TGj-0007ik-HX Message is frozen

2016-06-03 06:27:52 1b8HzR-0003pQ-Du Message is frozen

2016-06-03 06:27:52 1b8I81-0004b5-Ls Message is frozen

2016-06-03 06:27:52 1b8X65-0006oy-OQ Message is frozen

2016-06-03 06:27:52 1b8Aqh-0005lw-O8 Message is frozen

2016-06-03 06:27:52 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b8XEN-0007Ll-Id Message is frozen

2016-06-03 06:27:52 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b89zA-0001PO-Im Message is frozen

2016-06-03 06:27:52 1b8Y7u-0003GH-GX Message is frozen

2016-06-03 06:27:52 1b7rpr-0006Kh-N4 == mfelini@alcoholics-anonymous.com routing defer (-51): retry time not reached

2016-06-03 06:27:52 1b7qmf-0008Fx-Su Unfrozen by errmsg timer

2016-06-03 06:27:57 1b8WRT-0001xv-5d mail.co.seneca.ny.us [24.105.183.131] Connection timed out

2016-06-03 06:27:57 1b8WRT-0001xv-5d == spinckney@co.seneca.ny.us R=dnslookup T=remote_smtp defer (110): Connection timed out

2016-06-03 06:27:57 1b8Ch2-0008Kr-BM Message is frozen

2016-06-03 06:27:57 1b8CuF-0002Mp-QN Message is frozen

2016-06-03 06:27:57 1b67zI-0005Fk-EH Message is frozen

2016-06-03 06:27:57 1b8XSt-0008UZ-Ar Message is frozen

2016-06-03 06:27:57 1b89lX-0004Ip-By == acarolynsue8@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b8FP9-0003A7-2D Message is frozen

2016-06-03 06:27:57 1b8UZ1-0003O8-1v Message is frozen

2016-06-03 06:27:57 1b8Vzt-0004sO-Rw Message is frozen

2016-06-03 06:27:57 1b8TGj-0007ik-HX Message is frozen

2016-06-03 06:27:57 1b8HzR-0003pQ-Du Message is frozen

2016-06-03 06:27:57 1b8DZc-0008Am-2B Message is frozen

2016-06-03 06:27:57 1b8FsE-0005x9-Sr Message is frozen

2016-06-03 06:27:57 1b8Aqh-0005lw-O8 Message is frozen

2016-06-03 06:27:57 1b8XwL-0002Lg-AI Message is frozen

2016-06-03 06:27:57 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b8XEN-0007Ll-Id Message is frozen

2016-06-03 06:27:57 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b7quB-0000J4-4D == chascottage@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b89rs-0000EB-Jn Message is frozen

2016-06-03 06:27:57 1b7qmf-0008Fx-Su Spool file is locked (another process is handling this message)

2016-06-03 06:27:57 1b8YNz-0004xI-6R Message is frozen

2016-06-03 06:27:57 1b8AvN-00064n-BQ Message is frozen

Вот это что они прислали с абузой.

[spoiler]

his is an email abuse report for an email message received from IP 71.37.129.196 on 1 Jun 2016

>

>

> Arrival-Date: 1 Jun 2016

> Source-IP: 71.37.129.196

> Version: 1.0

> User-Agent: UOL Feedback Loop 1.0

> Feedback-Type: abuse

>

>

> Received: from outbound-bu1.vgs.untd.com (supportmail01.vgs.untd.com [10.181.43.21])

> by spamdesk02.vgs.untd.com with SMTP id AABMXA43JASHQJDS

> for <eow-spam@livespamdesk.prod.untd.com> (sender <scanmail_failures@mua.nyc.untd.com>);

> Thu, 2 Jun 2016 10:21:44 -0700 (PDT)

> Received: (qmail 6636 invoked by uid 514); 2 Jun 2016 17:21:44 -0000

> X-Issue-Tag: .catch_spam_mail

> Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com

> Received: from outbound-mail.vgs.untd.com (webmail03.vgs.untd.com [10.181.12.143])

> by supportmail01.vgs.untd.com with SMTP id AABMXA4Y7A56QX72

> for <spamdesk-spam@support.netzero.com> (sender <X>);

> Thu, 2 Jun 2016 10:20:29 -0700 (PDT)

> X-EOW-USER-IP: 64.129.214.19

> Received: from mx02.dca.untd.com (mx02.dca.untd.com [10.171.44.32])

> by maildeliver12.vgs.untd.com with SMTP id AABMW8ZARALEWSV2

> for <X> (sender <webmaster@мойдомен.ru>);

> Wed, 1 Jun 2016 15:05:03 -0700 (PDT)

> Authentication-Results: mx02.dca.untd.com; DKIM=NONE

> Received-SPF: SoftFail

> Received: from мойдомен (мойглавныйящик.yandex.ru [71.37.129.196])

> by mx02.dca.untd.com with SMTP id AABMW8ZAPA2YMBRJ

> for <X> (sender <webmaster@ мойдомен.ru>);

> Wed, 1 Jun 2016 15:05:02 -0700 (PDT)

> Received: from [204.34.116.187] (helo=BNFS1)

> by мойдомен.ru with esmtpa (Exim 4.80)

> (envelope-from <webmaster@ мойдомен.ru>)

> id 1b8EG2-0004TL-Mm

> for X; Thu, 02 Jun 2016 02:04:59 +0400

> From: "American Express" <amex@memberservice.com>

> To: X

> Date: Wed, 1 Jun 2016 17:56:43 -0400

> MIME-Version: 1.0

> Message-Id: <E1b8EG2-0004TL-Mm@ мойдомен.ru>

> Sender: webmaster@ мойдомен.ru

> X-UNTD-BodySize: 106746

> X-UNTD-SPF: SoftFail

> X-UNTD-DKIM: NONE

> X-ContentStamp: 8:4:224405347

> X-MAIL-INFO: 026dd01070391d1d1d7050a1f924a4f91da5d0a5d4d1cd25454df589a90d34b5819530a9b0c5b5b0a504f0f5958df991ddf9f980ad717914a5a01dd0d5

> X-UNTD-Peer-Info: 71.37.129.196 |мойглавныйящик.yandex.ru| мойдомен.ru|webmaster@ мойдомен.ru

> X-UNTD-UBE: -1

> Subject: Confirm your online account Ref # [173ah06e3PO09n2r]

> X-Juno-Message-Id: 17ah06e3PO09n2r06Bt

> X-Other-threads: Yes

> X-Thread-Count: 1

> X-UNTD-SPAMDESK-TYPE: EOW-SPAM

> X-UNTD-STORE-INFO: CRC:8:4:2240205347

>

> BNFS1

> Message-ID: <708762855252.49253@ мойглавныйящик.yandex.ru>

> Content-type: Multipart/alternate;

> boundary="1F5D2F77_1D62DCAD_skokcmx_boundary"

> Content-Description: Multipart message

>

> --1F5D2F77_1D62DCAD_skokcmx_boundary

> Content-type: text/plain; charset=ISO-8859-1

> Content-Transfer-Encoding: Quoted-printable

> Content-Disposition: inline

> Content-Description: Message text

[/spoiler]

Написал, в хостинг чтобы помогли разобраться.. что у наших писем есть SPF и DKIM а у этих нет

Там фигурирует постоянно этот несуществующий ящик webmaster@мойдомен.ru

Если будут какие то еще мысли, буду очень благодарен!

---------- Добавлено 02.06.2016 в 22:24 ----------

Блин я в логах ничерта не понимаю, что хотя бы там искать, не затруднит ли Вас подсказать 😕

понимаю, что на танке ездить не научиться по книжке, но хотя бы глянуть вдруг увижу что то

Спасибо за ответ, тот ящик уже удалил...снова сыпятся на основной.. не думал что такая жесть может быть.. просто чтобы основной ящик не засорялся подумал, что пусть туда капает.

Написал хостингу, что у моего домена SPF и DKIM, а у тех писем нет. Жду их ответ

Странно, получается любой сайт можно завалить так легко.. спам с фейка и абузы хостингу..Неужели никак не остановить если с фейкового?

Благодарю ftp123 за время потраченное на наш сайт. ftp123 дал дельные советы по присутствующим ошибкам. Обязательно проработаем данные моменты. Еще раз спасибо.

Бронирую, отправил в урл личку.

Благодарю за проделанную работу.

Алексей отличный специалист и приятный человек в общении. Обратился в связи с обнаружением "левого" блока в коде сайта. Были найдены шеллы, код очищен, а также даны рекомендации и ответы на возникающие вопросы. Хочется отметить, что в процессе большой работы возникли некие сложности, Алексей в свою очередь проявил себя надежным и доводящим дела до конца человеком, за что ему отдельное спасибо.

Алексей всегда на связи, что также является положительным моментом.

Я доволен, поэтому могу рекомендовать на 100%.

Все понятно :) Спасибо!

donc, siv1987 спасибо за ответы, все понял.

И заключительный вопрос это вообще нужно сделать?

Понимает ли яндекс/google что это фильтр или для пс это все дубль контента?