До чего техника дошла (cPanel / [newmailcgi])

ничего нового :)

Romka_Kharkov, 25 tcp out разрешите только uid/gid от которого работает exim.

Тогда все будет в логах mta.

В exim в log_selector попробуйте включить +arguments, должно быть видно cwd=/home/user/....

Также полезно заглядывать в suexec_log )

Насчет исхода по 25 я прекрасно понимаю, именно так и работает на всех серверах, логи Exim-a последнее время сократил, потому , что жрать места много начинают не серьезно, а так были расширенные :D просто сервер дали этот недавно вот с такой проблемой, видимо местные не смогли разобраться :D

Romka_Kharkov добавил 15-12-2011 в 16:14

Если вы ждали разоблачения теории заговора против человечества... то да.... ничего нового, а для меня честно говоря было вновь такое поведение спамера, обычно тупо скрипт заливают который или сам уже готов стрелять или передают на него куда стрелять.... а тут блин система целая, кусок кода POST запросом передается...... надо кстати наверное взвесить POST этот... ))) может на стадии php порезать можно по размеру ??? :D

Кстати а кто в курсе eval() в "обычном коде" часто используется?

POST там не такой большой будет. Это ж текст. Спамер его еще и заархивировать сможет, если надо будет. А вот загрузка файлов на сервер через POST пострадает от такого лимита.

А eval да, часто используется: посмотрел только phpBB и roundcube интерфейсы - там есть.

Да логично, там пара байт реально выходит :( Судя по логам к одному из акаунтов просто пароль был подобран, после всех моих нововведений сменил еще и пароль клиенту этому, по логам видно IP левый какой-то с паролем правильным .... :) Логи апача не стал пока изучать, если опять зальют после смены пароля тогда уже буду изучать логи.... Хотя... в том сценарии который я цитировал есть несколько переключателей, выглядит это так:

if (isset($_POST["action"]))

{

        switch ($_POST["action"])

        {

                case "test":

                        test();

                        break;

                case "setup":

                        projectcodes_setup();

                        break;

                case "remove":

                        projectcodes_remove();

                        break;

                default:

                        break;

        }

        return;

}

Судя по данному коду я понимаю, что злоумышленник может давать разные команды скрипту, а не тупо слать туда POST и все дела, но беда заключается в том, что в секциях функций project_*() и test() опять же есть часть данных которая приходит с пост запросом, отлавливать остальные actions как-то не сильно хочется, предполагаю там куски кода которые отвечают за скачивание какого либо файла в указанную директорию, а remove ... ну как бы удаление, если вдруг надо :D

В общем честно, для меня не ожиданный ход со стороны спамеров :D Любая cPanel по умолчанию хавает скрипты с mail(), при этому в панели есть SMTP Tweak который как раз закрывает SMTP на выход всем кроме mailmail, bla bla.... при таком положении дел фактически слать можно только через 127.0.0.1:25.... то есть все письма будут промаркированы..... а соответственно и вредитель будет моментально найден :D Непонятно :D