serres80

Рейтинг
31
Регистрация
29.02.2012
Блокируют исходящую почту на firstvsd.ru
Logger:
что пишет вывод команды

наверно apache или php ?
пишите - помогу.

ничего пусто

---------- Добавлено 18.05.2016 в 17:54 ----------

Оптимизайка:
iptables -A OUTPUT -p tcp --dport 25 -j LOG

спасибо, нужно поизучать.

Блокируют исходящую почту на firstvsd.ru
netwind:
serres80, из лога видно, что рассылка есть. Но это и ведь хостер и так заявлял. На что вы теперь надеетесь ? Полное расследование пути возникновения уязвимости на форуме не получится. Где-то там есть скрипт или программа, которая отправляет. Лечите сайт, как это обычно делается.

Верно спасибо, в этом и был вопрос где найти подтверждение наличие левого трафика и как проверить его наличие после лечения. По лечению все понятно.

Блокируют исходящую почту на firstvsd.ru
netwind:
serres80, смотря как именно технически заблокирован трафик. tcpdump может и показать попытки создания подключений.

tcpdump напрямую никого трафика на 25 порту не показывает, если сделать фильтр исключив 80, 22 порт и запросы arp (т.к. их очень много) т.е. "tcpdump port not 80 and port not 22 and not arp" можно увидеть что раз в несколько минут идет блок запросов связанных с почтой возможно это и есть нелегальная рассылка? - как бы еще понять каким сервисом создается, может в этом логе кому-то понятно что происходит

Во вложении пример этого блока без трафика сайта, и домен переименовал в wwww.ww

И к стати при запросе на отправку из функции mail никаких пакетов нет но запрос попадает в лог, а при попытке отправки сообщение через форму форума видно что есть запрос smtp.yandex но не попадает в лог.

txt tcpdump.txt
Блокируют исходящую почту на firstvsd.ru
netwind:
tcpdump-ом можно собрать трафик по определенным фильтрам и убедиться. Но это чтобы просто подтвердить факт наличия исходящего спама, а скрипт-источник будет сильно сложнее узнать.
Допустим, периодически запускаете netstat, определяете запущенные процессы. Выбираете те, которые создают соединения в сеть. Определяете как эти процессы процессы запустились, какой части сайта принадлежат.
Звучит туманно, но и у вас ничего конкретного не описано. И это все когда почта разблокирована, а то соединений не будет.

Сейчас 25 порт заблокирован, получается выявить кто именно создает почтовый трафик вообще нереально?

Наверное пока восстановлю из архивной копии - посмотри будет ли firstdvs блокировать после этого, и попробую сравнить файлы.

Блокируют исходящую почту на firstvsd.ru
Оптимизайка:
Настройки почты в административном разделе phpbb3 гляньте (Общие->Настройки почты), что там?

в админке PHPBB3 все также как всегда было ))

Имя функции email: mail

Использовать SMTP для отправки email-сообщений:ssl://smtp.yandex.ru

Порт сервера SMTP: 465

Метод аутентификации для SMTP: login

Блокируют исходящую почту на firstvsd.ru
Оптимизайка:
А вы пробовали функцией mail() отправить письмо? Может быть логи не создаются, т.к. никто не отправляет почту через php? А исходящий трафик почтовый не через php идет (вирус)?

Действительно если файл php из одной функции mail то лог пишется, при отправке из админки phpbb3 в лог не попадает.

Сейчас попробую сверить файлы с предыдущими архивами, но пока непонятно в чем копать.

---------- Добавлено 18.05.2016 в 02:59 ----------

'[umka:
;14486138']Сначала определитесь, какой у вас почтовый сервер занимается обработкой исходящих сообщений.
Найдите, куда он пишет логи.
Если не пишет — включите, чтобы писал.
Дальше по ним уже собирайте статистику.

Отправлять письма напрямую из PHP (через сокеты) лучше запретить.

Не существует единого приложения которое может собрать всю статистику по почте вне зависимости от почтового сервера?

в php.ini стоит sendmail_path = /usr/sbin/sendmail -t -i но ни sendmail ни этой папки не существует давно почта уходила через ssl://smtp.yandex.ru.

Блокируют исходящую почту на firstvsd.ru
Оптимизайка:
http://php.net/manual/ru/mail.configuration.php#ini.mail.log

включение mail.log тоже почему то не создает логи, сутки назад указал файл и нет ни одного лога может из за того что ни одного письма не отправлено? как он на ошибки реагирует?

хотя когда блокировку снимали пару писем успели доходить но в логе ничего не появилось.