URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5600
[ Назад ]

Исходное сообщение
"баян про спам"

Отправлено zhekagl , 08-Мрт-08 12:45 
Привет всем.
Столкнулся с такой проблемой. У меня крякнули сайт и спамили через postfix от www-data.
Сайт я востановил, а спам продолжает валить. Подскажите где еще поискать?
Конфиг postfix.
main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no

mydomain = domain.ru
myhostname = mail.domain.ru
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost = mail.provider.ru
mynetworks = 127.0.0.0/8 192.168.1.0/24 85.113.xxx.xxx 85.113.xxx.xxx
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mail_spool_directory = /var/mail
maps_rbl_reject_code=554

smtpd_helo_required = yes
smtpd_helo_restrictions =       reject_invalid_hostname,
                                permit_mynetworks

smtpd_hard_error_limit = 8

strict_rfc821_envelopes = yes
disable_vrfy_command = yes

smtpd_client_restrictions = reject_rbl_client bl.spamcop.net

smtpd_sender_restrictions =     reject_non_fqdn_sender,
                                reject_unknown_sender_domain

smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unauth_destination,
                                reject_unauth_pipelining,
                                reject_invalid_hostname


restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permit
restrictive = reject_unknown_sender_domain reject_unknown_client_hostname ...
permissive = permit

transport_maps=mysql:/etc/postfix/mysql/transport.cf

virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql/users.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/aliases.cf
virtual_uid_maps = static:103
virtual_gid_maps = static:105
relay_domains = $transport_maps

local_recipient_maps = $virtual_mailbox_maps $virtual_maps $transport_maps

check_sender_access = mysql:/etc/postfix/mysql/restricted_senders


Содержание

Сообщения в этом обсуждении
"баян про спам"
Отправлено angra , 08-Мрт-08 22:53 
>Подскажите где еще поискать?

В логах постфикса. Потом в текстах скриптов сайта.


"баян про спам"
Отправлено zhekagl , 08-Мрт-08 23:05 
>>Подскажите где еще поискать?
>
>В логах постфикса. Потом в текстах скриптов сайта.

Логи смотрел, не нашел. Вот кусок
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 849CA3D01C2: from=<www-data@domen.ru>, size=2407, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 84A753D02D8: from=<www-data@domen.ru>, size=2420, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: 9FB883D02D1: from=<www-data@domen.ru>, size=2424, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/qmgr[8013]: D1D543D02F9: from=<www-data@domen.ru>, size=2416, nrcpt=1 (queue active)
Mar  8 09:35:41 localhost postfix/smtp[9866]: B583C3D02DD: to=<acassytwisync@mymail-in.net>, relay=mail.intercon.ru[85.113.128.132]:25, delay=23649, delays=2
Mar  8 09:35:41 localhost postfix/smtp[9865]: A5B4E3D025C: to=<menpa@atd1905.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=65315, delays=65315/0.11/0
Mar  8 09:35:41 localhost postfix/smtp[9867]: A6B443D0244: to=<sakddhsajd@naidi-menya.ru>, relay=mail.intercon.ru[85.113.128.132]:25, delay=81616, delays=816

Сайт востановил из бэкапа.
Пробовал запретить рассылку через php- не помогло.


"баян про спам"
Отправлено ыыыыыыыыыыыыыы , 09-Мрт-08 09:37 
>>>Подскажите где еще поискать?
>>

может спамеры успели в очередь постфикса поднасрать не хило и щас он ее отправляет патихоньку...проверь чего там за письма, попробуй хедеры\тело письма глянуть спамного

как вариант по логи веб-сервера или grep на функцию mail() по всему сайту поможет найти скрипт.
возможно через cgi спамят?


"баян про спам"
Отправлено zhekagl , 21-Мрт-08 23:01 
Всем спасибо, разобрался.
На сервере лежал сайт с форумом. В форуме хацкеры проковыряли дырку и добрались до SQL базы форумской. Там записали базу адресов и вирусню и благополуно спамили троянами через postfix.
Так что будте внимательны и почащще обновляйте движки сайтов.