The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"баян про спам"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"баян про спам"  
Сообщение от zhekagl email(ok) on 08-Мрт-08, 12:45 
Привет всем.
Столкнулся с такой проблемой. У меня крякнули сайт и спамили через postfix от www-data.
Сайт я востановил, а спам продолжает валить. Подскажите где еще поискать?
Конфиг postfix.
main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no

mydomain = domain.ru
myhostname = mail.domain.ru
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost = mail.provider.ru
mynetworks = 127.0.0.0/8 192.168.1.0/24 85.113.xxx.xxx 85.113.xxx.xxx
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mail_spool_directory = /var/mail
maps_rbl_reject_code=554

smtpd_helo_required = yes
smtpd_helo_restrictions =       reject_invalid_hostname,
                                permit_mynetworks

smtpd_hard_error_limit = 8

strict_rfc821_envelopes = yes
disable_vrfy_command = yes

smtpd_client_restrictions = reject_rbl_client bl.spamcop.net

smtpd_sender_restrictions =     reject_non_fqdn_sender,
                                reject_unknown_sender_domain

smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unauth_destination,
                                reject_unauth_pipelining,
                                reject_invalid_hostname


restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permit
restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permit

transport_maps=mysql:/etc/postfix/mysql/transport.cf

virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql/users.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/aliases.cf
virtual_uid_maps = static:103
virtual_gid_maps = static:105
relay_domains = $transport_maps

local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps

check_sender_access = mysql:/etc/postfix/mysql/restricted_senders

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "баян про спам"  
Сообщение от angra (ok) on 08-Мрт-08, 22:53 
>Подскажите где еще поискать?

В логах постфикса. Потом в текстах скриптов сайта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "баян про спам"  
Сообщение от zhekagl email(ok) on 08-Мрт-08, 23:05 
>>Подскажите где еще поискать?
>
>В логах постфикса. Потом в текстах скриптов сайта.

Логи смотрел, не нашел. Вот кусок
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 849CA3D01C2: from=<www-data@domen.ru>, size=2407, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 84A753D02D8: from=<www-data@domen.ru>, size=2420, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 9FB883D02D1: from=<www-data@domen.ru>, size=2424, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: D1D543D02F9: from=<www-data@domen.ru>, size=2416, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/smtp[9866]: B583C3D02DD: to=<acassytwisync@mymail-in.net>, relay=mail.intercon.ru[85.113.128.132]:25, delay=23649, delays=2
Mar  8 09:35:41 localhost postfix/smtp[9865]: A5B4E3D025C: to=<menpa@atd1905.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=65315, delays=65315/0.11/0
Mar  8 09:35:41 localhost postfix/smtp[9867]: A6B443D0244: to=<sakddhsajd@naidi-menya.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=81616, delays=816

Сайт востановил из бэкапа.
Пробовал запретить рассылку через php- не помогло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "баян про спам"  
Сообщение от ыыыыыыыыыыыыыы on 09-Мрт-08, 09:37 
>>>Подскажите где еще поискать?
>>

может спамеры успели в очередь постфикса поднасрать не хило и щас он ее отправляет патихоньку...проверь чего там за письма, попробуй хедеры\тело письма глянуть спамного

как вариант по логи веб-сервера или grep на функцию mail() по всему сайту поможет найти скрипт.
возможно через cgi спамят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "баян про спам"  
Сообщение от zhekagl email(ok) on 21-Мрт-08, 23:01 
Всем спасибо, разобрался.
На сервере лежал сайт с форумом. В форуме хацкеры проковыряли дырку и добрались до SQL базы форумской. Там записали базу адресов и вирусню и благополуно спамили троянами через postfix.
Так что будте внимательны и почащще обновляйте движки сайтов.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру