Друзья, выручайте, проблема с сервером идет спам

Если не нашли подходящего форума - задайте вопрос здесь

Модераторы: Art.i, garry

Друзья, выручайте, проблема с сервером идет спам

Сообщение zamess » Пн июн 08, 2015 7:33 pm

Всем привет. Не так давно началось чудо какое-то происходить с одним из сайтов. Все пароли поменял, все воде почистил, а вот с самим серваком сложно разобраться, не хватает знаний. Вот сейчас прямо сижу в реальном времени через SSH пишу команду mailq и выдает мне вот что:

root@***:~# mailq
14m 2.1K 1Z1zcv-0007pO-HL <> *** frozen ***
roma@***.ru

13m 2.4K 1Z1zdn-0007po-As <> *** frozen ***
roma@***.ru

13m 2.3K 1Z1zdn-0007po-Fs <> *** frozen ***
roma@***.ru

13m 2.1K 1Z1zeL-0007pz-Gq <> *** frozen ***
roma@***.ru

12m 2.1K 1Z1zed-0007q9-Hp <> *** frozen ***
roma@***.ru

12m 2.1K 1Z1zfK-0007qD-6D <> *** frozen ***
roma@***.ru

9m 2.1K 1Z1zhT-0007qb-56 <> *** frozen ***
roma@***.ru

9m 2.1K 1Z1zhl-0007r7-7t <> *** frozen ***
roma@***.ru

7m 2.1K 1Z1zjt-0007sT-5i <> *** frozen ***
roma@***.ru

5m 2.1K 1Z1zlH-0007sj-5P <> *** frozen ***
roma@***.ru

0m 2.0K 1Z1zql-0007vw-JO <> *** frozen ***
roma@***.ru

и тут же удаляю командой: exipick -i | xargs exim -Mrm

root@***:~# exipick -i | xargs exim -Mrm
Message 1Z1zcv-0007pO-HL has been removed
Message 1Z1zdn-0007po-As has been removed
Message 1Z1zdn-0007po-Fs has been removed
Message 1Z1zeL-0007pz-Gq has been removed
Message 1Z1zed-0007q9-Hp has been removed
Message 1Z1zfK-0007qD-6D has been removed
Message 1Z1zhT-0007qb-56 has been removed
Message 1Z1zhl-0007r7-7t has been removed
Message 1Z1zjt-0007sT-5i has been removed
Message 1Z1zlH-0007sj-5P has been removed
Message 1Z1zql-0007vw-JO has been removed


Я понимаю, что там где-то лежит какая-то хреновина и снова и снова добавляет в задание списки базы. Пока дождешься напутствия от поддержи хостинга, 100 раз подумаешь о них очень и очень плохо, так вот такие дела друзья, выручайте пожалуйста, что надо сделать как понять где это хрень лежит и что это вобще такое. Вирусов на компьютере нет, это точно.
zamess
 
Сообщений: 5
Зарегистрирован: Сб апр 11, 2015 11:44 am

Re: Друзья, выручайте, проблема с сервером идет спам

Сообщение Esthete » Вт июн 09, 2015 8:09 am

Попробуйте выполнить поиск шеллов на вашем сайте - http://revisium.com/kb/find_shell1.html
Ещё рекомендую проверить сайт сканером Ai-Bolit.

Также недавно вышла совместная разработака Яндекса и Ai-Bolit - веб-антивирус Manul, который также использует сигнатуры Ai-bolit'а.
Подробнее о том, как его использовать, вы можете узнать здесь.

Ну если вам небезразлична безопасность вашего сайта, то рекомендую ознакомиться с этими статьями.
Esthete
 
Сообщений: 19
Зарегистрирован: Пт май 08, 2015 1:31 pm

Re: Друзья, выручайте, проблема с сервером идет спам

Сообщение zamess » Вт июн 09, 2015 10:12 am

Шелл был удален, спам все равно шел. Момент такой, вчера отключил один из почтовых доменов, добавление писем прекратилось. Сегодня включаю почтовый домен, снова появляются списки, по команде mailq видно. Так вот дело такое, шелл был удален совершенно с другого домена. Что теперь делать с этим доменом с которого идет спам? все сайты проверил всяческими способами, поставил плагины, все защитил как следует мне так кажется) изменений и левых файлов больше нет.
zamess
 
Сообщений: 5
Зарегистрирован: Сб апр 11, 2015 11:44 am

Re: Друзья, выручайте, проблема с сервером идет спам

Сообщение Esthete » Вт июн 09, 2015 11:28 am

Посмотрите заголовки отправляемых сообщений. Они хранятся примерно здесь: /var/spool/exim/inut/
Можно посмотреть конкретный заголовок командой
cat /var/spool/exim/inut/id-сообщения-H

Возможно, в заголовках засветится скрипт, который рассылает гадость, или будет указан почтовый ящик. Удостоверьтесь, что изменены пароли для всех почтовых ящиков.
Esthete
 
Сообщений: 19
Зарегистрирован: Пт май 08, 2015 1:31 pm

Re: Друзья, выручайте, проблема с сервером идет спам

Сообщение pepper » Ср июн 10, 2015 8:49 am

Esthete верно советует, проверьте заголовки писем в /var/spool/exim/input, можно попробовать увидеть скрипт так:
Код: выделить все
grep -R X-PHP-Originating-Script /var/spool/exim/input  /var/spool/exim4/input| cut -d\: -f4|sort -rn|uniq -c |sort -rn
В выводе должно будет показаться имя скрипта, потом его нужно будет найти в директориях пользователей так:
Для Linux:
Код: выделить все
find /var/www -name Имя-скрипта.php
Для FreeBSD:
Код: выделить все
find /home -name Имя-скрипта.php
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am


Вернуться в Любые вопросы

Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 2

cron