forum.opennet.ru - "Я шлю спам!!! Как найти где?" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Я шлю спам!!! Как найти где?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Я шлю спам!!! Как найти где?"
Сообщение от William on 01-Дек-05, 09:34
FreeBSD 5.3 sendmail 8.13.1 PHP 4.4.0 phpBB 2.0.18 Каждую ночь от nobody уходит толпа спама на адреса в домене @aol.com. Проверяю last, кроме меня никто не ходит. Проверяю cron, все задания только мои. Проверяю ps axu, все процессы "правильные". Ищу в апаче все скрипты (php, cgi) содержащие слово "sendmail" - нормальные phpBB-шные скрипты. Среди пользователей форумов нету никого с адресами из @aol.com Проверил адрес на http://www.abuse.net/relay.html. Открытым релеем не являюсь. Как найти, кто является инициатором рассылки? В логах сендмыла сыпется примерно следующее: Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: from=<nobody@MYNAME.ru>, size=8054, class=0, nrcpts=100, msgid=<200511300117.jAU1Hqbh001158@ MYNAME.ru>, proto=ESMTP, daemon=IPv4, relay=localhost. MYNAME.ru [127.0.0.1] Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Scanned: ClamAV version 0.86.2, clamav-milter version 0.86 on MYNAME.ru Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Status: Clean Nov 30 04:23:54 MYNAME sendmail[1158]: jAU1Hqbh001158: to=edarby175@aol.com,krnickell@aol.com,kjstromeier@aol.com,fkemper@heldref.org,atroth8441@aol.com,...МНОГО-МНОГО адресов...,dokinchan4586@aol.com, [more], ctladdr=nobody (65534/65534), delay=00:06:02, xdelay=00:00:00, mailer=relay, pri=11955949, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (jAU1NsNt001528 Message accepted for delivery)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Я шлю спам!!! Как найти где?, lavr, 11:21 , 01-Дек-05, (1)

Я шлю спам!!! Как найти где?, William, 12:53 , 01-Дек-05, (2)

Я шлю спам!!! Как найти где?, lavr, 13:20 , 01-Дек-05, (3)

Я шлю спам!!! Как найти где?, William, 18:31 , 09-Дек-05, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Я шлю спам!!! Как найти где?"

Сообщение от lavr on 01-Дек-05, 11:21

>FreeBSD 5.3
>sendmail 8.13.1
>PHP 4.4.0
>phpBB 2.0.18
>Каждую ночь от nobody уходит толпа спама на адреса в домене @aol.com.
>
>Проверяю last, кроме меня никто не ходит.
>Проверяю cron, все задания только мои.
>Проверяю ps axu, все процессы "правильные".
>Ищу в апаче все скрипты (php, cgi) содержащие слово "sendmail" - нормальные
>phpBB-шные скрипты. Среди пользователей форумов нету никого с адресами из @aol.com
>
>Проверил адрес на http://www.abuse.net/relay.html. Открытым релеем не являюсь.
>Как найти, кто является инициатором рассылки?
>В логах сендмыла сыпется примерно следующее:
>Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: from=<nobody@MYNAME.ru>, size=8054, class=0, nrcpts=100, msgid=<200511300117.jAU1Hqbh001158@ MYNAME.ru>, proto=ESMTP, daemon=IPv4, relay=localhost. MYNAME.ru [127.0.0.1]
>Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Scanned: ClamAV version
>0.86.2, clamav-milter version 0.86 on MYNAME.ru
>Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Status: Clean
>Nov 30 04:23:54 MYNAME sendmail[1158]: jAU1Hqbh001158: to=edarby175@aol.com,krnickell@aol.com,kjstromeier@aol.com,fkemper@heldref.org,atroth8441@aol.com,...МНОГО-МНОГО адресов...,dokinchan4586@aol.com, [more], ctladdr=nobody (65534/65534), delay=00:06:02,
>xdelay=00:00:00, mailer=relay, pri=11955949, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (jAU1NsNt001528 Message accepted for
>delivery)
посмотри настройки антивируса на предмет отправки уведомлений о
нахождении вируса. Например - вирус с подложных адресов, в письме
содержащем вирус куча адресов в поле To или From или CC, фильтр
отловив вирус делает попытку отправить уведомление.
Самый лучший и правильный вариант - гасить письма с вирусами безо
всяких уведомлений и карантинов!
Еще вариант - наличие почтовой CGI без проверок в html страничках,
без дополнительной идентификации - это дурной тон.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Я шлю спам!!! Как найти где?"

Сообщение от William on 01-Дек-05, 12:53

>отловив вирус делает попытку отправить уведомление.
>Самый лучший и правильный вариант - гасить письма с вирусами безо
>всяких уведомлений и карантинов!
Сделал слать уведомление только постмастеру.
>Еще вариант - наличие почтовой CGI без проверок в html страничках,
>без дополнительной идентификации - это дурной тон.
Как уже отмечал выше, поискал такие скрипты. Нашел стандартные phpBB-шные и самописные. В самописных - отсылается почта только на admin@MYHOST.ru
Реально ли в сендмыле включить логирование, которое бы показывало, кто является инициатором посылки письма?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Я шлю спам!!! Как найти где?"

Сообщение от lavr on 01-Дек-05, 13:20

>>отловив вирус делает попытку отправить уведомление.
>>Самый лучший и правильный вариант - гасить письма с вирусами безо
>>всяких уведомлений и карантинов!
> Сделал слать уведомление только постмастеру.
>
>>Еще вариант - наличие почтовой CGI без проверок в html страничках,
>>без дополнительной идентификации - это дурной тон.
> Как уже отмечал выше, поискал такие скрипты. Нашел стандартные phpBB-шные и
>самописные. В самописных - отсылается почта только на admin@MYHOST.ru
> Реально ли в сендмыле включить логирование, которое бы показывало, кто является
>инициатором посылки письма?
у тебя там от nobody@mydomen.ru - что у тебя запускается от nobody?
самописка (cgi) - разбираются строки после post метода? зачастую
можно влупить вместо одного адреса - много, добавить CC и тд и тп...
Опять же ЛОГИ - время когда сие было разослано, ЧТО в этот момент
работало, КТО, логи этого ЧТО и КТО...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Я шлю спам!!! Как найти где?"

Сообщение от William on 09-Дек-05, 18:31

Перекопал мегабайты логов (на серваке несколько сайтиковкрутится). По всей вероятности именно этот скрпит, с помощью которого слали спам...
Самописный cgi. Человек заполняет простую формочку:
Имя, Тема, Сообщение.
И кидает ее админу, вот кусок текст скрипта, который обрабатывает запрос.
#--------------Start----------------
my $from=param('from');
my $subj=param('subj');
my $my_body=param('my_body');
open (SENDMAIL, "|/usr/sbin/sendmail -t") or die "Невозможно отправить сообщение! произошла ошибка: $!\n";
print SENDMAIL <<MMM;
From: <$from>
To: <contact\@MYDOMAIN.ru>
Subject: $subj
$my_body
MMM
close(SENDMAIL) or warn "Произошла ошибка при отправке письма! $!\n";
print "<code class='menu'> Ваше сообщение было успешно отправлено администратору сервера!</code>";
#------------------END---------------
Подскажите, плз, каким образом можно использовать данный скрипт для массовой рассылки ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Я шлю спам!!! Как найти где?"
Сообщение от lavr on 01-Дек-05, 11:21
>FreeBSD 5.3 >sendmail 8.13.1 >PHP 4.4.0 >phpBB 2.0.18 >Каждую ночь от nobody уходит толпа спама на адреса в домене @aol.com. > >Проверяю last, кроме меня никто не ходит. >Проверяю cron, все задания только мои. >Проверяю ps axu, все процессы "правильные". >Ищу в апаче все скрипты (php, cgi) содержащие слово "sendmail" - нормальные >phpBB-шные скрипты. Среди пользователей форумов нету никого с адресами из @aol.com > >Проверил адрес на http://www.abuse.net/relay.html. Открытым релеем не являюсь. >Как найти, кто является инициатором рассылки? >В логах сендмыла сыпется примерно следующее: >Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: from=<nobody@MYNAME.ru>, size=8054, class=0, nrcpts=100, msgid=<200511300117.jAU1Hqbh001158@ MYNAME.ru>, proto=ESMTP, daemon=IPv4, relay=localhost. MYNAME.ru [127.0.0.1] >Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Scanned: ClamAV version >0.86.2, clamav-milter version 0.86 on MYNAME.ru >Nov 30 04:23:54 MYNAME sendmail[1528]: jAU1NsNt001528: Milter add: header: X-Virus-Status: Clean >Nov 30 04:23:54 MYNAME sendmail[1158]: jAU1Hqbh001158: to=edarby175@aol.com,krnickell@aol.com,kjstromeier@aol.com,fkemper@heldref.org,atroth8441@aol.com,...МНОГО-МНОГО адресов...,dokinchan4586@aol.com, [more], ctladdr=nobody (65534/65534), delay=00:06:02, >xdelay=00:00:00, mailer=relay, pri=11955949, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (jAU1NsNt001528 Message accepted for >delivery) посмотри настройки антивируса на предмет отправки уведомлений о нахождении вируса. Например - вирус с подложных адресов, в письме содержащем вирус куча адресов в поле To или From или CC, фильтр отловив вирус делает попытку отправить уведомление. Самый лучший и правильный вариант - гасить письма с вирусами безо всяких уведомлений и карантинов! Еще вариант - наличие почтовой CGI без проверок в html страничках, без дополнительной идентификации - это дурной тон.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Я шлю спам!!! Как найти где?"
	Сообщение от William on 01-Дек-05, 12:53
	>отловив вирус делает попытку отправить уведомление. >Самый лучший и правильный вариант - гасить письма с вирусами безо >всяких уведомлений и карантинов! Сделал слать уведомление только постмастеру. >Еще вариант - наличие почтовой CGI без проверок в html страничках, >без дополнительной идентификации - это дурной тон. Как уже отмечал выше, поискал такие скрипты. Нашел стандартные phpBB-шные и самописные. В самописных - отсылается почта только на admin@MYHOST.ru Реально ли в сендмыле включить логирование, которое бы показывало, кто является инициатором посылки письма?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Я шлю спам!!! Как найти где?"
	Сообщение от lavr on 01-Дек-05, 13:20
	>>отловив вирус делает попытку отправить уведомление. >>Самый лучший и правильный вариант - гасить письма с вирусами безо >>всяких уведомлений и карантинов! > Сделал слать уведомление только постмастеру. > >>Еще вариант - наличие почтовой CGI без проверок в html страничках, >>без дополнительной идентификации - это дурной тон. > Как уже отмечал выше, поискал такие скрипты. Нашел стандартные phpBB-шные и >самописные. В самописных - отсылается почта только на admin@MYHOST.ru > Реально ли в сендмыле включить логирование, которое бы показывало, кто является >инициатором посылки письма? у тебя там от nobody@mydomen.ru - что у тебя запускается от nobody? самописка (cgi) - разбираются строки после post метода? зачастую можно влупить вместо одного адреса - много, добавить CC и тд и тп... Опять же ЛОГИ - время когда сие было разослано, ЧТО в этот момент работало, КТО, логи этого ЧТО и КТО...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Я шлю спам!!! Как найти где?"
	Сообщение от William on 09-Дек-05, 18:31
	Перекопал мегабайты логов (на серваке несколько сайтиковкрутится). По всей вероятности именно этот скрпит, с помощью которого слали спам... Самописный cgi. Человек заполняет простую формочку: Имя, Тема, Сообщение. И кидает ее админу, вот кусок текст скрипта, который обрабатывает запрос. #--------------Start---------------- my $from=param('from'); my $subj=param('subj'); my $my_body=param('my_body'); open (SENDMAIL, "\|/usr/sbin/sendmail -t") or die "Невозможно отправить сообщение! произошла ошибка: $!\n"; print SENDMAIL <<MMM; From: <$from> To: <contact\@MYDOMAIN.ru> Subject: $subj $my_body MMM close(SENDMAIL) or warn "Произошла ошибка при отправке письма! $!\n"; print "<code class='menu'> Ваше сообщение было успешно отправлено администратору сервера!</code>"; #------------------END--------------- Подскажите, плз, каким образом можно использовать данный скрипт для массовой рассылки ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору