Forum Debian Users Gang

DeWu · 2015-04-23 22:44:18

Witam
Dzisiaj znalazłem setki (ponad 700) zatytuowanych głownie Undelivered Email returned to sender. W treści maila:

Kod:

This is the mail system at host poczta.mojadomena.pl.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<devin3935@gmail.com>: host gmail-smtp-in.l.google.com[173.194.67.26] said:
    550-5.7.1 [82.160.220.20      12] Our system has detected that this message
    is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to
    Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1
    http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
    5.7.1 more information. gb9si56076wib.107 - gsmtp (in reply to end of DATA
    command)

Reporting-MTA: dns; poczta.mojadomena.pl
X-Postfix-Queue-ID: 16B6F2BB4E3
X-Postfix-Sender: rfc822; susanne_chavez@Hmojadrugadomenadomena.pl
Arrival-Date: Thu, 23 Apr 2015 20:45:21 +0200 (CEST)

Final-Recipient: rfc822; devin3935@gmail.com
Original-Recipient: rfc822;devin3935@gmail.com
Action: failed
Status: 5.7.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.1 [82.160.220.20      12] Our system has
    detected that this message is 550-5.7.1 likely unsolicited mail. To reduce
    the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked.
    Please visit 550-5.7.1
    http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
    5.7.1 more information. gb9si56076wib.107 - gsmtp

Jako nadawca przewija sie kilka adresów w domenie mojadrugadomenadomena.pl. Na serwerze mam postfixa z kilkoma virtual domenami i catch-allami w trzech domenach. Gdzie szukac przyczyny takiego zachowania ?

mati75 · 2015-04-24 08:33:59

Wygląda na spam rozsyłany. Masz włączone php mail w tych domenach?

DeWu · 2015-04-24 12:23:50

Mam ale to nie jest maszyna hostingowa. Nikt nie ma do niej dostepu poza mna. Mam na niej tylko swojego bloga opartego na Wordpresie.

ethanak · 2015-04-24 13:38:06

zapodaj rekord spf dla domeny
co do wordpressa - sprawdź sobie wszystkie wtyczki, miałem ostatnio pacjenta z dziurawym wordpressem (gdyby nie pozostałe zabezpieczenia to bym jeszcze przez tydzień się z rbl-i wypisywał).
pacjentowi na leczenie wordpressa przepisano fakturę - bardzo skuteczny lek.

winnetou · 2015-04-24 14:12:22

na leczenie WP najskuteczniejszym lekiem jest: cp *.(jpg|png|gif); mysqldump, rm -rf; instalacja świeżego

ethanak · 2015-04-24 14:21:44

czyli reinstalacja dziurawej wtyczki ma w czymś pomóc (oprócz poprawienia samopoczucia admina)? ciekawa teoria...

mati75 · 2015-04-24 15:21:52

Najlepszym sposobem na leczenie wordpressa jest jego usunięcie i postawienie na nowo.

ethanak · 2015-04-24 16:17:02

a co zmieni postawienie na nowo starej znanej dziury?

mati75 · 2015-04-24 16:50:04

Świeży wordpress + wtyczki zaktualizowane o to mi chodzi.

Jacekalex · 2015-04-24 17:25:54

Wordpressa trzeba solidnie zabezpieczyć, wtedy wytrzyma dużo więcej, niż się niektórym zdaje.

Np SQL-Injection:

Kod:

| Grants for wordpress4@localhost                                                                                   |
+-------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT, CREATE TEMPORARY TABLES, SHOW VIEW ON `wordpress4`.* TO 'wordpress4'@'localhost'                    |
| GRANT SELECT, INSERT ON `wordpress4`.`wp_comments` TO 'wordpress4'@'localhost'

I wp-config.php:

Kod:

if (strstr($_SERVER["SSL_CLIENT_VERIFY"], 'SUCCES')) {
    if(strstr($_SERVER["SSL_CLIENT_COMMONNAME"], '{TWOJA_NAZWA_Z_CERTU}')) {

        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4admin');
        define('DB_PASSWORD', '{hasełko_admina_wordpressa}');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
    }
}


else
{    
        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4');
        define('DB_PASSWORD', '{hasełko_dla_bloga}');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
}

Potem zrobić dwa Vhosty, na jednym logowanie po PKCS12/ssl do panelu admina,
na drugim chodzi blog, do tego dwóch userów w Mysqlu z różnymi uprawnieniami do bazy Wordpressa.

SOA#1

Jak "grzecznie poprosicie", to mam jeszcze konfig do Nginxa dla WP, i skrypta do automatycznej aktualizacji poleceniem z konsoli, z użyciem wp-cli, do tego profile Apparmora do Nginxa i do PHP-FPM. ;)

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-24 17:37:57)

DeWu · 2015-04-24 18:07:02

Hejtujecie tego Wordpressa zupełnie niepotrzebnie. Chociaz mati75byl bliko, Winowajca okazal sie autorski CMS mojego znajomego ktory wykorzystywal jakis modul javascript upload. W dodatku kolega dal chmoda 777 na caly swoj folder co pozwolilo atakujacemu zapisac na serwerze pliki .php ktore najprawdopodbniej rozyslaly spam (nie wiem co robily dokladnie bo yly zakodowane Zendem) W kazdym badz razie sytuacja juz opanowana a z kolejki postfixa zniknello 138 000 maili.

ethanak · 2015-04-24 18:55:27

czyli nie jest to serwer do którego tylko ty masz dostęp - bo jeszcze jest jakiś kmieć ze swoim superzajebiszczym programem, a pewnie jeszcze ze trzech kolesi z jakimiś wynalazkami typu 777 na folderze.
ciekawe, czemu u mnie w efekcie dziury u pacjenta serwer dostał ciężkiej zadyszki (load rzędu 500) a ilość wysłanych maili wyniosła 0 koma 0...

Jacekalex · 2015-04-24 19:07:16

Na spam z php mail(0 też jest lekarstwo, można mu jako polecenie podłożyć spamc.

Przykład:

Kod:

/usr/bin/spamc -u pacjent2pkt@domena.tld -E  -e /usr/bin/sendmail -o -i

Potem w bazie danych z konfiguracją Spamassasina ustawiamy dla pacjenta pacjent2pkt@domena.tld spam przy przekroczeniu 1 lub 2 pkt, i gotowe.

To w rpzypadku takiego dziadostwa jak Exim czy Postifix, w QMmailu wystarczy wyeksportować globalnie zmienną

Kod:

QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue

i wszystko, co dostanie [b]/var/qmail/bin/sendmail[/b] leci przez filtr spamowy,
w którym wystarczy zmienić jeden drobiazg, żeby wywalał spam zamiast wysyłać ze zmienionym nagłówkiem.

Albo po prostu wywalić/zablokować funkcję mail(), i niech wszystko lata przez serwer pocztowy po tcp, a tam na serwerze pocztowym można dowolne filtry ustawiać.

winnetou · 2015-04-25 12:21:52

nikt nie hejtue wp a przynamniej nie ja ;p sam z niego korzystam. Z powodzeniem od lat kilku (+5) bez reinstalacji

DeWu · 2015-04-27 11:40:13

Niestety problem ciagle wystepuje, tzn dostaje mnoswo maili tytulowanych "Undelivered mail returned to Sender" tym razem juz z komunikatem ze moje IP jest na czarnej liscie. Czy ktos z Was podjalby sie poszukania zrodla i wyeliminowania problemu?

winnetou · 2015-04-27 11:56:17

zaoraj WP i postaw od nowa w aktualnych wersjach. Możesz ewentualnie pojechać konto/serwer maldetem - tylko nie zawsze wykryje podejrzane pliki.

DeWu · 2015-04-27 12:01:42

Wordpressa uzywam od dwoch miesiecy i to zawsze w najnowszej wersji a z mailami mam okresowo problemy od paru lat. Szukam kogos kto sie na tym zna i by mi to ogarnal

ethanak · 2015-04-27 12:56:44

pytanie: czy te maile przechodzą przez twojego postfixa (sprawdź w logach).
zablokowałeś funkcję mail w php?
jeśli twój ip jest na blackliście to raczej nie efekt skopanego spf ale na wszelki wypadek podaj treść rekordu dla domeny.

DeWu · 2015-04-28 08:26:38

Jak to sprawdzić?

mail w php potrzebuję wieć nie mogę zablokować.

Do serwera podpięte jest kilka domen. Dla głównej domeny SFP wygląda tak:

Kod:

domenapl. IN>TXT<---><------>"v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all"
poczta IN  TXT    "v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all"

Do wszyskich pozostałych zresztą też.

Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data

Ostatnio edytowany przez DeWu (2015-04-28 08:27:37)

winnetou · 2015-04-28 10:13:07

Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data[/quote]
To jest SYF. Sprawdź clamem/maldetem wszystkie konta (albo nawet i cały serwer ;]) do tego polecam
Kod:
man lsof
man strace
LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Time (s)	Query
0.00014	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00132	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.235.66' WHERE u.id=1
0.00072	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.235.66', 1732307631)
0.00040	SELECT * FROM punbb_online WHERE logged<1732307331
0.00060	DELETE FROM punbb_online WHERE ident='3.135.184.195'
0.00047	SELECT topic_id FROM punbb_posts WHERE id=286230
0.00008	SELECT id FROM punbb_posts WHERE topic_id=27321 ORDER BY posted
0.00046	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27321 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00170	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27321 ORDER BY p.id LIMIT 0,25
0.00074	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27321
Total query time: 0.00672 s

Forum Debian Users Gang

Ogłoszenie

#1 2015-04-23 22:44:18

DeWu - Użytkownik

Ponad 700 maili w skrzynce

Kod:

#2 2015-04-24 08:33:59

mati75 - Psuj

Re: Ponad 700 maili w skrzynce

#3 2015-04-24 12:23:50

DeWu - Użytkownik

Re: Ponad 700 maili w skrzynce

#4 2015-04-24 13:38:06

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

#5 2015-04-24 14:12:22

winnetou - złodziej wirków ]:->

Re: Ponad 700 maili w skrzynce

#6 2015-04-24 14:21:44

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

#7 2015-04-24 15:21:52

mati75 - Psuj

Re: Ponad 700 maili w skrzynce

#8 2015-04-24 16:17:02

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

#9 2015-04-24 16:50:04

mati75 - Psuj

Re: Ponad 700 maili w skrzynce

#10 2015-04-24 17:25:54

Jacekalex - Podobno człowiek...;)

Re: Ponad 700 maili w skrzynce

Kod:

Kod:

#11 2015-04-24 18:07:02

DeWu - Użytkownik

Re: Ponad 700 maili w skrzynce

#12 2015-04-24 18:55:27

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

#13 2015-04-24 19:07:16

Jacekalex - Podobno człowiek...;)

Re: Ponad 700 maili w skrzynce

Kod:

Kod:

#14 2015-04-25 12:21:52

winnetou - złodziej wirków ]:->

Re: Ponad 700 maili w skrzynce

#15 2015-04-27 11:40:13

DeWu - Użytkownik

Re: Ponad 700 maili w skrzynce

#16 2015-04-27 11:56:17

winnetou - złodziej wirków ]:->

Re: Ponad 700 maili w skrzynce

#17 2015-04-27 12:01:42

DeWu - Użytkownik

Re: Ponad 700 maili w skrzynce

#18 2015-04-27 12:56:44

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

#19 2015-04-28 08:26:38

DeWu - Użytkownik

Re: Ponad 700 maili w skrzynce

Kod:

#20 2015-04-28 10:13:07

winnetou - złodziej wirków ]:->

Re: Ponad 700 maili w skrzynce

Kod:

#21 2015-04-28 12:06:47

ethanak - Użytkownik

Re: Ponad 700 maili w skrzynce

Stopka forum

Informacje debugowania