Онлайн-форум hostobzor.ru > Проблема со спамом

Помощь - Поиск - Пользователи - Календарь

Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Выделенный сервер и co-location

Ovod

22.12.2006, 23:15

У меня в NAC установлен сервер (FreeBsd 5.4) ислоьзуется только для "своих" (2-3 корпаративных проекта, администрируемые одной командой), после 2 месяцев спокойной жизни и блаженства от качества работы на информационный ящик начали падать абузы от службы безопасности в которых говорилось следующие:

Цитата

For questions about these reports please email: email_report@lists.mci.com
> NOTE: there is no need to acknowledge these reports, the email address: email_report@lists.mci.com is purely for questions.
>
> Some frequently asked questions about this process and its fallout can be found here: http://www.secsup.org/complaints/
>
> The following spam message was received at Mon, 18 Dec 2006 21:45:14 -0500
>
> IP: 209.123.8.16
> TIMESTAMP: Mon, 18 Dec 2006 21:45:14 -0500
> GMT-0000
>
>
> From dune@thedune.ru Wed Dec 20 08:09:16 2006
> Return-Path: <dune@thedune.ru>
> X-Original-To: 5629942@mcimail.com
> Received: from 35090.ds.nac.net (35090.ds.nac.net [209.123.8.16]) by
> succubus.secsup.org (Postfix) with ESMTP id 7346B2469 for
> <5629942@mcimail.com>; Wed, 20 Dec 2006 08:09:16 +0000 (GMT)
> Received: from apache by 35090.ds.nac.net with local (Exim 4.62)
> (envelope-from <dune@thedune.ru>) id 1GwUyg-000CZy-NG for
> 5629942@mcimail.com; Mon, 18 Dec 2006 21:45:14 -0500
> To: 5629942@mcimail.com
> Subject: Attention: Your AOL Account Could Get Suspended
> From: alerts@aol.com <alerts@aol.com>
> Reply-To:
> X-Mailer: Microsoft Outlook Express 5.00.2615.200
> MIME-Version: 1.0
> Content-Type: text/html
> Content-Transfer-Encoding: quoted-printable
> Message-ID: <E1GwUyg-000CZy-NG@35090.ds.nac.net>
> Date: Mon, 18 Dec 2006 21:45:14 -0500
> X-Sender-Ip: 209.123.8.16
> X-Asn: 8001
> X-Cidr: 209.123.0.0/16
>
> <head>
> <style type="text/css">
> main {color: black; font-family: arial black; font-style: normal; text-decoration: none}
> .smalltext{FONT-FAMILY: arial, helvetica; FONT-SIZE: 11px}
> </style>
> </head>
~~ТЕКСТ СПАМ ПИСЬМА~~

В поле от кого отсылалось письмо мог быть какой угодно ящик и это все прекрасно понимают но ипи с которого шал расслыка был точно наш, перепроверили все ресурсы - скрипт вредитель или недобросовестный мылопользователь не был найден.

Abuse письма продолжают сыпаться с завидной частотой...незнаем что думать, NAC уже на сутки выключал наш сервер - еле уговорили востановить работу....кто подскажет в чем может быть проблема?

Народ говорит что возможно это спуффинг....но черт его знает как с ним боротся, скажу честно программиста наладчика под рукой нету.

Пока приходиться вручную обрубать все почтовые сервисы (vm-pop3d и exim), возможно заметка чайника но последний сервис скольк не отключай - он сам включается через какое то время.

Просьба не смется - серьезно программиста под рукой нет) а мы менеджеры в сервисах линукса слабо секем.

rustelekom

23.12.2006, 03:37

лечить надо. шлют скорее всего через форму (ну контактная форма или что то подобное) а может уязвимость какую то в скриптах пользуют. шлется от юзера apache так что это стопроцентно со скриптов пхп идет. чтобы узнать точно надо поставить патчик который бы показывал в теле письма откуда, из какого скрипта шлется письма. ну а еще можно поставить правила для модуля mod_security чтобы резалось отправление писем методом пост (ну или во всяком случае не давало б отправлять на аол.ком) но без админа или человека который в никсах разбирается настолько хотя бы чтобы пропатчить пхп или добаить модуль в апач не удастся...

2175

23.12.2006, 11:47

Цитата(rustelekom @ 23.12.2006, 03:37)

можно попробовать посмотреть статитистику apache - если через скрипт спамят, то вызывают его часто.

Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.