форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Поиски спамера на хостинге"

Сообщение от AlexxelA (ok) on 01-Фев-08, 09:02

Доброе утро всем. Имеется хостинг на альтлинухе (apache, php, mysql... короче все стандартно). Панель webcp, IP всех доменов один. Недавно обнаружил в очереди (mailq) несколько десятков тысяч писем. Детальное изучение проблемы показало, что большенство писем состряпаны по одному шаблону и отправляются с моего сервера. Предполагаю, что для этого был заюзан некий скрипт либо дырка в существующих php/perl скриптах. Что я предпринял для поиска спамера: 1. Изучение ftp логов 2. Изучение http логов 3. Поиск по всем web каталогам захостенных доменов ключевых слов, фраз спам-письма Ничего подозрительного не нашел =( А тем временем очередь только увеличивается. Итак, 2 вопроса. 1. Как найти этот злощастный спам-скрипт? 2. Как защититься от этого в дальнейшем? Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Поиски спамера на хостинге"

Сообщение от sn (??) on 01-Фев-08, 09:36

>я предпринял для поиска спамера: >1. Изучение ftp логов >2. Изучение http логов >3. Поиск по всем web каталогам захостенных доменов ключевых слов, фраз спам-письма > >Ничего подозрительного не нашел =( А тем временем очередь только увеличивается. Итак, >2 вопроса. может там уже руткит стоит? >Спасибо. Не за что.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Поиски спамера на хостинге"

Сообщение от Andrey Mitrofanov on 01-Фев-08, 09:36

>1. Изучение ftp логов >2. Изучение http логов А логи _почтового_ сервера? >3. Поиск по всем web каталогам захостенных доменов ключевых слов, фраз спам-письма

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Поиски спамера на хостинге"
	Сообщение от AlexxelA (ok) on 01-Фев-08, 10:04
	>А логи _почтового_ сервера? Естествено. Забыл написать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Поиски спамера на хостинге"

Сообщение от idle (ok) on 01-Фев-08, 12:38

>[оверквотинг удален] >3. Поиск по всем web каталогам захостенных доменов ключевых слов, фраз спам-письма > > >Ничего подозрительного не нашел =( А тем временем очередь только увеличивается. Итак, >2 вопроса. > >1. Как найти этот злощастный спам-скрипт? >2. Как защититься от этого в дальнейшем? > >Спасибо. А relay у Вас закрыт?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Поиски спамера на хостинге"
	Сообщение от AlexxelA (ok) on 04-Фев-08, 08:28
	Спасибо всем ответившим. Спамера нашел следующим образом: 1. Выбрал одно спам-письмо, нашел время его создания. 2. F9, поиск дататайма по всем файлам access (у каждого домена естейственно свои http логи). 3. Дальше проще. Нашел десяток совпадений, и в одном файле увидел море следующих строк: 82.200.211.144 - - [01/Feb/2008:13:47:46 +0300] "GET /upload/index.php?page=send&nf=3140&nt=3160&kk=20&dir=upload HTTP/1.1" 2 00 1548 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.8 (build 01709)" 4. Нашел этот файл - действительно рассылка спама... Причем и база емейлов и текст лежат на народе.ру. ... $fileaddr = "http://***.narod.ru/mail.txt"; //Файл в котором находитяться e-mail'ы $filemsg  = "http://***.narod.ru/msg.txt"; //текст сообщения ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]