- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
tcpdump-ом можно собрать трафик по определенным фильтрам и убедиться. Но это чтобы просто подтвердить факт наличия исходящего спама, а скрипт-источник будет сильно сложнее узнать.
Допустим, периодически запускаете netstat, определяете запущенные процессы. Выбираете те, которые создают соединения в сеть. Определяете как эти процессы процессы запустились, какой части сайта принадлежат.
Звучит туманно, но и у вас ничего конкретного не описано. И это все когда почта разблокирована, а то соединений не будет.
Сейчас 25 порт заблокирован, получается выявить кто именно создает почтовый трафик вообще нереально?
Наверное пока восстановлю из архивной копии - посмотри будет ли firstdvs блокировать после этого, и попробую сравнить файлы.
serres80, смотря как именно технически заблокирован трафик. tcpdump может и показать попытки создания подключений.
serres80, смотря как именно технически заблокирован трафик. tcpdump может и показать попытки создания подключений.
tcpdump напрямую никого трафика на 25 порту не показывает, если сделать фильтр исключив 80, 22 порт и запросы arp (т.к. их очень много) т.е. "tcpdump port not 80 and port not 22 and not arp" можно увидеть что раз в несколько минут идет блок запросов связанных с почтой возможно это и есть нелегальная рассылка? - как бы еще понять каким сервисом создается, может в этом логе кому-то понятно что происходит
Во вложении пример этого блока без трафика сайта, и домен переименовал в wwww.ww
И к стати при запросе на отправку из функции mail никаких пакетов нет но запрос попадает в лог, а при попытке отправки сообщение через форму форума видно что есть запрос smtp.yandex но не попадает в лог.
Судя по настройкам phpbb3 у вас исходящая почта идет напрямую и не по 25-му, а по 465-му порту (SSL). Прочая почтовая активность скорее всего связана с тем, что у вас вирус (шелл) на сайте.
Проверяйте, лечитесь.
serres80, из лога видно, что рассылка есть. Но это и ведь хостер и так заявлял. На что вы теперь надеетесь ? Полное расследование пути возникновения уязвимости на форуме не получится. Где-то там есть скрипт или программа, которая отправляет. Лечите сайт, как это обычно делается.
serres80, из лога видно, что рассылка есть. Но это и ведь хостер и так заявлял. На что вы теперь надеетесь ? Полное расследование пути возникновения уязвимости на форуме не получится. Где-то там есть скрипт или программа, которая отправляет. Лечите сайт, как это обычно делается.
Верно спасибо, в этом и был вопрос где найти подтверждение наличие левого трафика и как проверить его наличие после лечения. По лечению все понятно.
А нигде. Обычно закачивают скрипт, который запускает демона и удаляет следы сразу после запуска.
То есть он остается только в памяти, на диске его нет. И логов по умолчанию, в которых что-то найдется - тоже нет.
Вывод? Уделять пару копеек на базовую защиту сервера/сайта или потратить пару месяцев на изучение защиты самостоятельно.
что пишет вывод команды
lsof -i | grep smtp
наверно apache или php ?
пишите - помогу.
как проверить его наличие после лечения
iptables -A OUTPUT -p tcp --dport 25 -j LOG
что пишет вывод команды
наверно apache или php ?
пишите - помогу.
ничего пусто
---------- Добавлено 18.05.2016 в 17:54 ----------
iptables -A OUTPUT -p tcp --dport 25 -j LOG
спасибо, нужно поизучать.