Сегодня пришла абуза от спамкопа, что спам идет с сервера.
Хэдеры письма:
Received-SPF: neutral (google.com: 116.0.103.100 is neither permitted
nor denied by domain of nevvshyip@gmail.com) client-ip=116.0.103.100;
Authentication-Results: mx.google.com; spf=neutral (google.com:
116.0.103.100 is neither permitted nor denied by domain of
nevvshyip@gmail.com) smtp.mail=nevvshyip@gmail.com
Received: from fkdc (55.236.97.1)
by server1.securesupport.ru; Mon, 19 Nov 2007 04:42:19 +0300
Date: Mon, 19 Nov 2007 04:42:19 +0300
From: <nevvshyip@gmail.com>
X-Mailer: The Bat! (v2.01)
Reply-To: <nevvshyip@gmail.com>
X-Priority: 3 (Normal)
Смотрим логи:
2007-11-19 03:32:30 1ItuYw-0005lg-MM <= nevvshyip@gmail.com H=localhost (server1.securesupport.ru) [127.0.0.1] P=smtp S=1469 id=5641976055.20061218210552@gmail.com T="Up to 2.27% Daily ~ vai" from <nevvshyip@gmail.com> for davebezos@fscv.net
Судя по всему, получается что на сервере авторизовались с логином nevvshyip@gmail.com?
На PHP стоит mail security patch, что соответственно отобразилось бы в шапке письма, если бы рассылылалось всё пхп скриптом...
Подскажите пожалуйста, куда копать хотя бы, а то в замешательстве..
Полная версия: Спам?
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Выделенный сервер и co-location
Ищите dm.pl
То есть Вы полагаете, что кто-то во всю шурует DirectMail скриптом?
Предположим, что найдем. Как сделать, чтобы такое не повторилось?
На ум только правила для mod_security лезут.. но это не панацея как мне кажется..
Предположим, что найдем. Как сделать, чтобы такое не повторилось?
На ум только правила для mod_security лезут.. но это не панацея как мне кажется..
mod_security помоему не спасет.
Можно ведь и через крон запустить скрипт
Можно ведь и через крон запустить скрипт
прописать в фаере чтоб на 25 порт мог коннектиться только юзер с uid 47 (mail или mailnull). походу можно закрыть и соединения на 25 порт на внешних серверах но, в данном случае это не поможет (поскольку коннектились на локалхост).
PS. можно также включить примитивную защиту от дураков - типа запустился процесс dm.cgi или dm.pl - убить его на фиг и админу на мыло собщить кто запускал.
PS. можно также включить примитивную защиту от дураков - типа запустился процесс dm.cgi или dm.pl - убить его на фиг и админу на мыло собщить кто запускал.
Если стоит suexec - то найти юзера который пускает DM - очень просто
Найдя юзера - решаете вопрос с ним
Найдя юзера - решаете вопрос с ним
suexec'а нет.
Не подскажите, как открыть порт только для 47 уида, фаер kiss.
---
такс, есть идея.
Если допустим в кисс зафигачим строчки:
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner mail -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner mailnull -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mail -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailnull -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
нужного эффекта достигнем?
Не подскажите, как открыть порт только для 47 уида, фаер kiss.
---
такс, есть идея.
Если допустим в кисс зафигачим строчки:
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner root -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner mail -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --uid-owner mailnull -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mail -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -m owner --gid-owner mailnull -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
нужного эффекта достигнем?
Поставьте suexec - убережете себя от массы проблем в дальнейшем
Всем большое спасибо!
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.