yarnik

yarnik
Рейтинг
64
Регистрация
23.06.2011
yarnik:
1. К серверу я подключаюсь с отдельного офиса, использую полный набор и ссш и фтп и theBat,
2. Ящик который якобы "взломали" принадлежит другой конторе, там много ящиков на этом же сервере, подключаются все только theBat. Но получает письма только 1 пользователь.

Сейчас я склонен думать что врядле это взлом сервера, максимум ПК. А значит я вас зря потревожил...

Спасибо за ответы.

Только потому что эти консультации были бесплатными я поделюсь своим итогом. Все дело в настройках Эксима по умолчанию и у большинства в том числе. Вспомните (посмотрите) правила ACL

1. проверка на корректность написания отправителя и получателя

2. проверка отправителя - днс или локаль (тут кстати если локаль многие ставят тоже далее не проверять)

3. разрешить все от авторизированных

4. проверка на приветствие

5. проверка получателя

7. итоговое разрешение если до этого не было запретов.

Конкретно в моем случае, где отправитель представлялся мной же, все правила проходились на ура но при этом отправитель не был авторизирован. Так что мне оставалось только дописать правила запрещающее отправлять почту локальным доменам не будучи авторизированными:


deny !authenticated = *
sender_domains = +local_domains : +relay_to_domains
message = Authentication required!

Надеюсь и вам и будущему поколению это поможет =)

1. К серверу я подключаюсь с отдельного офиса, использую полный набор и ссш и фтп и theBat,

2. Ящик который якобы "взломали" принадлежит другой конторе, там много ящиков на этом же сервере, подключаются все только theBat. Но получает письма только 1 пользователь.

Сейчас я склонен думать что врядле это взлом сервера, максимум ПК. А значит я вас зря потревожил...

Спасибо за ответы.

в php.ini включен

mail.add_x_header
а в заголовке письма не видно чтоб это отправлялось с php,

даже наоборот, по логам видно что это пришло не локально, а через esmtp да еще и с забугорного ip

Как он проходит авторизацию?

или он знает пароль? Но я же его поменял после первого письма...

Скорее всего ничего не хакнул, он такой брет пишет там на англ, типа фотки с вебки и порно скриншоты (но вебки нет и это рабочий ящик :)

Как шлет неизвестно, с сервера письма забирают TheBat, так что посмотреть на сервере можно только логи…

lsof чисто


# lsof | grep smtp
exim 29999 exim 3u IPv6 25659927 0t0 TCP *:smtp (LISTEN)
exim 29999 exim 4u IPv4 25659928 0t0 TCP *:smtp (LISTEN)

tcpdump , там куча писем ходит.

# tcpdump -n port 25

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes


---------- Добавлено 12.11.2018 в 13:12 ----------

вот что TheBat говорит по заголовкам


Return-path: <my@domain>
Envelope-to: my@domain
Delivery-date: Sun, 11 Nov 2018 01:20:23 +0200
Received: from [184.22.250.71] (helo=184-22-250-0.24.nat.sila1-cgn01.myaisfibre.com)
by my_mailserver with esmtp (Exim 4.91)
(envelope-from <my@domain>)
id 1gLcYA-0008W3-BV
for my@domain; Sun, 11 Nov 2018 01:20:23 +0200
Message-ID: <002701d47986$04f50ba7$a2282493@hotxga>
From: <my@domain>
To: <my@domain>
Subject: Hacking Alert! You account was hacked
Date: 11 Nov 2018 12:11:03 +0600
MIME-Version: 1.0
Content-Type: text/plain;
charset="cp-850"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.2595
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.2595
X-Antivirus: Avast (VPS 181111-16, 11.11.2018), Inbound message
X-Antivirus-Status: Clean


---------- Добавлено 12.11.2018 в 13:16 ----------

Вот он в логах Exim (при чем по ip только 1 раз)

2018-11-11 01:20:23 1gLcYA-0008W3-BV <= my@domain H=(184-22-250-0.24.nat.sila1-cgn01.myaisfibre.com) [184.22.250.71] P=esmtp S=3368 id=002701d47986$04f50ba7$a2282493@hotxga from <my@domain> for my@domain

2018-11-11 01:20:24 1gLcYA-0008W3-BV => print <my@domain> R=procmail T=procmail_pipe
2018-11-11 01:20:24 1gLcYA-0008W3-BV Completed

Centos + Exim (конфиг ISPmanager)

Идут письма от самого себя, чудак пишет что хакнул ящик.

1. Менял пароль.

2. Закомментировал

  # Accept mail to postmaster in any local domain, regardless of the source,

# and without verifying the sender.
# accept local_parts = postmaster
# verify = recipient
# domains = +local_domains

ничего не помагает…

Ну почему же дорого? вполне нормальные цены:

https://seolib.ru/tools/links/metrics/ - 2,5 коп

http://www.recipdonor.com/help/api#IG - 0,5$ за 1000 запросов

Может старожилы поделится отзывами или другими API?

Хорошо, какой тогда метод или API может это сделать адекватно и не дорого?

silvestrik:
Посещаемость около 1000 уников, среднее время на сайте около 2 минут.

Какие будут мнения?

Ну вот что бы совсем честно, проведу свой юзабилити по данному сайту:

1. Попадаю на главную страницу, пытаясь понять о чем сайт, читаю надпись "Куда поехать на море" или "Где отдохнуть".

2. Ага, приблизительно понятно, как любой человек, я хочу отдыха и пытаюсь найти куда мне поехать отдохнуть.

3. Листаю ниже :- Израиль, Майорка, все не то...

4. Замечаю список флагов, ага, думаю, вот оно! Ищу нужную мне страну а не там то было, нет нужной страны...

5. Ладно, читаю верхнюю менюху, есть страны, ну ладно, идем сюда... Европа... жму на нужную и страну в надежде получить какой то топ100 мест разбитый по категориям, но вместо этого получаю:

- Природа, праздники, климат... хм...

6. Ну хоть дешёвые авиабилеты давай посмотрим, жмем..

- Получаем какую то рекламную статью со ссылкой на официальный сайт аэропорта...

Занавес! Разочарование! Мой вывод - это ГС.

Malyamoff:
и также под Google

Какая региональность у сайтов?

Можно ли на них размещать бизнес тематику?

Как у гугла закрыть часть контента на странице?

noindex гугл воспринимает только для всей страницы в мета-тегах

Всего: 117