Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 18.05.2016, 10:35   #11
netwind
Академик
 
Регистрация: 06.05.2007
Сообщений: 6,010
Репутация: 490997

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

Цитата:
Сообщение от serres80 Посмотреть сообщение
Не существует единого приложения которое может собрать всю статистику по почте вне зависимости от почтового сервера?
tcpdump-ом можно собрать трафик по определенным фильтрам и убедиться. Но это чтобы просто подтвердить факт наличия исходящего спама, а скрипт-источник будет сильно сложнее узнать.
Допустим, периодически запускаете netstat, определяете запущенные процессы. Выбираете те, которые создают соединения в сеть. Определяете как эти процессы процессы запустились, какой части сайта принадлежат.
Звучит туманно, но и у вас ничего конкретного не описано. И это все когда почта разблокирована, а то соединений не будет.
netwind вне форума   Ответить с цитированием

Реклама
Старый 18.05.2016, 11:55   #12
serres80
Студент
 
Регистрация: 29.02.2012
Сообщений: 8
Репутация: 10

ТопикСтартер Re: Блокируют исходящую почту на firstvsd.ru

Цитата:
Сообщение от netwind Посмотреть сообщение
tcpdump-ом можно собрать трафик по определенным фильтрам и убедиться. Но это чтобы просто подтвердить факт наличия исходящего спама, а скрипт-источник будет сильно сложнее узнать.
Допустим, периодически запускаете netstat, определяете запущенные процессы. Выбираете те, которые создают соединения в сеть. Определяете как эти процессы процессы запустились, какой части сайта принадлежат.
Звучит туманно, но и у вас ничего конкретного не описано. И это все когда почта разблокирована, а то соединений не будет.
Сейчас 25 порт заблокирован, получается выявить кто именно создает почтовый трафик вообще нереально?
Наверное пока восстановлю из архивной копии - посмотри будет ли firstdvs блокировать после этого, и попробую сравнить файлы.
serres80 вне форума   Ответить с цитированием
Старый 18.05.2016, 12:24   #13
netwind
Академик
 
Регистрация: 06.05.2007
Сообщений: 6,010
Репутация: 490997

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

serres80, смотря как именно технически заблокирован трафик. tcpdump может и показать попытки создания подключений.
netwind вне форума   Ответить с цитированием
Старый 18.05.2016, 14:19   #14
serres80
Студент
 
Регистрация: 29.02.2012
Сообщений: 8
Репутация: 10

ТопикСтартер Re: Блокируют исходящую почту на firstvsd.ru

Цитата:
Сообщение от netwind Посмотреть сообщение
serres80, смотря как именно технически заблокирован трафик. tcpdump может и показать попытки создания подключений.
tcpdump напрямую никого трафика на 25 порту не показывает, если сделать фильтр исключив 80, 22 порт и запросы arp (т.к. их очень много) т.е. "tcpdump port not 80 and port not 22 and not arp" можно увидеть что раз в несколько минут идет блок запросов связанных с почтой возможно это и есть нелегальная рассылка? - как бы еще понять каким сервисом создается, может в этом логе кому-то понятно что происходит

Во вложении пример этого блока без трафика сайта, и домен переименовал в wwww.ww

И к стати при запросе на отправку из функции mail никаких пакетов нет но запрос попадает в лог, а при попытке отправки сообщение через форму форума видно что есть запрос smtp.yandex но не попадает в лог.
Вложения
Тип файла: txt tcpdump.txt (48.7 Кб, 59 просмотров)
serres80 вне форума   Ответить с цитированием
Старый 18.05.2016, 14:53   #15
Оптимизайка
Академик
 
Аватар для Оптимизайка
 
Регистрация: 11.03.2012
Адрес: 127.0.0.1
Сообщений: 4,348
Репутация: 600912

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

Судя по настройкам phpbb3 у вас исходящая почта идет напрямую и не по 25-му, а по 465-му порту (SSL). Прочая почтовая активность скорее всего связана с тем, что у вас вирус (шелл) на сайте.

Проверяйте, лечитесь.
__________________
BotGuard ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Оптимизайка вне форума   Ответить с цитированием
Старый 18.05.2016, 15:39   #16
netwind
Академик
 
Регистрация: 06.05.2007
Сообщений: 6,010
Репутация: 490997

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

serres80, из лога видно, что рассылка есть. Но это и ведь хостер и так заявлял. На что вы теперь надеетесь ? Полное расследование пути возникновения уязвимости на форуме не получится. Где-то там есть скрипт или программа, которая отправляет. Лечите сайт, как это обычно делается.
netwind вне форума   Ответить с цитированием
Старый 18.05.2016, 16:00   #17
serres80
Студент
 
Регистрация: 29.02.2012
Сообщений: 8
Репутация: 10

ТопикСтартер Re: Блокируют исходящую почту на firstvsd.ru

Цитата:
Сообщение от netwind Посмотреть сообщение
serres80, из лога видно, что рассылка есть. Но это и ведь хостер и так заявлял. На что вы теперь надеетесь ? Полное расследование пути возникновения уязвимости на форуме не получится. Где-то там есть скрипт или программа, которая отправляет. Лечите сайт, как это обычно делается.
Верно спасибо, в этом и был вопрос где найти подтверждение наличие левого трафика и как проверить его наличие после лечения. По лечению все понятно.
serres80 вне форума   Ответить с цитированием
Старый 18.05.2016, 16:06   #18
Andreyka
Настройщик серверов
 
Аватар для Andreyka
 
Регистрация: 19.02.2005
Адрес: Odessa
Сообщений: 12,723
Репутация: 391399
Отправить сообщение для Andreyka с помощью ICQ Отправить сообщение для Andreyka с помощью AIM Отправить сообщение для Andreyka с помощью MSN Отправить сообщение для Andreyka с помощью Yahoo Отправить сообщение для Andreyka с помощью Skype™ Send Message via Jabber to Andreyka
Социальные сети Профиль на Хабрахабре

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

А нигде. Обычно закачивают скрипт, который запускает демона и удаляет следы сразу после запуска.
То есть он остается только в памяти, на диске его нет. И логов по умолчанию, в которых что-то найдется - тоже нет.

Вывод? Уделять пару копеек на базовую защиту сервера/сайта или потратить пару месяцев на изучение защиты самостоятельно.
__________________
Взлом шифрованной файловой системы LUKS - реальность!
Andreyka вне форума   Ответить с цитированием
Старый 18.05.2016, 16:42   #19
Logger
root@srv~#
 
Регистрация: 13.01.2011
Сообщений: 424
Репутация: 19055
Отправить сообщение для Logger с помощью ICQ Отправить сообщение для Logger с помощью Skype™

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

что пишет вывод команды
Цитата:
lsof -i | grep smtp
наверно apache или php ?
пишите - помогу.
__________________
Контакты-icq 535609
Logger вне форума   Ответить с цитированием
Старый 18.05.2016, 16:43   #20
Оптимизайка
Академик
 
Аватар для Оптимизайка
 
Регистрация: 11.03.2012
Адрес: 127.0.0.1
Сообщений: 4,348
Репутация: 600912

По умолчанию Re: Блокируют исходящую почту на firstvsd.ru

Цитата:
Сообщение от serres80 Посмотреть сообщение
как проверить его наличие после лечения
iptables -A OUTPUT -p tcp --dport 25 -j LOG
Оптимизайка вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны