Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Dzisiaj znalazłem setki (ponad 700) zatytuowanych głownie Undelivered Email returned to sender. W treści maila:
This is the mail system at host poczta.mojadomena.pl. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system <devin3935@gmail.com>: host gmail-smtp-in.l.google.com[173.194.67.26] said: 550-5.7.1 [82.160.220.20 12] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550 5.7.1 more information. gb9si56076wib.107 - gsmtp (in reply to end of DATA command) Reporting-MTA: dns; poczta.mojadomena.pl X-Postfix-Queue-ID: 16B6F2BB4E3 X-Postfix-Sender: rfc822; susanne_chavez@Hmojadrugadomenadomena.pl Arrival-Date: Thu, 23 Apr 2015 20:45:21 +0200 (CEST) Final-Recipient: rfc822; devin3935@gmail.com Original-Recipient: rfc822;devin3935@gmail.com Action: failed Status: 5.7.1 Remote-MTA: dns; gmail-smtp-in.l.google.com Diagnostic-Code: smtp; 550-5.7.1 [82.160.220.20 12] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550 5.7.1 more information. gb9si56076wib.107 - gsmtp
Jako nadawca przewija sie kilka adresów w domenie mojadrugadomenadomena.pl. Na serwerze mam postfixa z kilkoma virtual domenami i catch-allami w trzech domenach. Gdzie szukac przyczyny takiego zachowania ?
Offline
Mam ale to nie jest maszyna hostingowa. Nikt nie ma do niej dostepu poza mna. Mam na niej tylko swojego bloga opartego na Wordpresie.
Offline
zapodaj rekord spf dla domeny
co do wordpressa - sprawdź sobie wszystkie wtyczki, miałem ostatnio pacjenta z dziurawym wordpressem (gdyby nie pozostałe zabezpieczenia to bym jeszcze przez tydzień się z rbl-i wypisywał).
pacjentowi na leczenie wordpressa przepisano fakturę - bardzo skuteczny lek.
Offline
na leczenie WP najskuteczniejszym lekiem jest: cp *.(jpg|png|gif); mysqldump, rm -rf; instalacja świeżego
Offline
czyli reinstalacja dziurawej wtyczki ma w czymś pomóc (oprócz poprawienia samopoczucia admina)? ciekawa teoria...
Offline
Wordpressa trzeba solidnie zabezpieczyć, wtedy wytrzyma dużo więcej, niż się niektórym zdaje.
Np SQL-Injection:
| Grants for wordpress4@localhost | +-------------------------------------------------------------------------------------------------------------------+ | GRANT SELECT, CREATE TEMPORARY TABLES, SHOW VIEW ON `wordpress4`.* TO 'wordpress4'@'localhost' | | GRANT SELECT, INSERT ON `wordpress4`.`wp_comments` TO 'wordpress4'@'localhost'
I wp-config.php:
if (strstr($_SERVER["SSL_CLIENT_VERIFY"], 'SUCCES')) { if(strstr($_SERVER["SSL_CLIENT_COMMONNAME"], '{TWOJA_NAZWA_Z_CERTU}')) { define('DB_NAME', 'wordpress4'); define('DB_USER', 'wordpress4admin'); define('DB_PASSWORD', '{hasełko_admina_wordpressa}'); define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock'); define('FS_METHOD', 'direct'); define('DB_CHARSET', 'utf8'); define('DB_COLLATE', ''); } } else { define('DB_NAME', 'wordpress4'); define('DB_USER', 'wordpress4'); define('DB_PASSWORD', '{hasełko_dla_bloga}'); define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock'); define('FS_METHOD', 'direct'); define('DB_CHARSET', 'utf8'); define('DB_COLLATE', ''); }
Potem zrobić dwa Vhosty, na jednym logowanie po PKCS12/ssl do panelu admina,
na drugim chodzi blog, do tego dwóch userów w Mysqlu z różnymi uprawnieniami do bazy Wordpressa.
SOA#1
Jak "grzecznie poprosicie", to mam jeszcze konfig do Nginxa dla WP, i skrypta do automatycznej aktualizacji poleceniem z konsoli, z użyciem wp-cli, do tego profile Apparmora do Nginxa i do PHP-FPM. ;)
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-04-24 17:37:57)
Offline
Hejtujecie tego Wordpressa zupełnie niepotrzebnie. Chociaz mati75byl bliko, Winowajca okazal sie autorski CMS mojego znajomego ktory wykorzystywal jakis modul javascript upload. W dodatku kolega dal chmoda 777 na caly swoj folder co pozwolilo atakujacemu zapisac na serwerze pliki .php ktore najprawdopodbniej rozyslaly spam (nie wiem co robily dokladnie bo yly zakodowane Zendem) W kazdym badz razie sytuacja juz opanowana a z kolejki postfixa zniknello 138 000 maili.
Offline
czyli nie jest to serwer do którego tylko ty masz dostęp - bo jeszcze jest jakiś kmieć ze swoim superzajebiszczym programem, a pewnie jeszcze ze trzech kolesi z jakimiś wynalazkami typu 777 na folderze.
ciekawe, czemu u mnie w efekcie dziury u pacjenta serwer dostał ciężkiej zadyszki (load rzędu 500) a ilość wysłanych maili wyniosła 0 koma 0...
Offline
Na spam z php mail(0 też jest lekarstwo, można mu jako polecenie podłożyć spamc.
Przykład:
/usr/bin/spamc -u pacjent2pkt@domena.tld -E -e /usr/bin/sendmail -o -i
Potem w bazie danych z konfiguracją Spamassasina ustawiamy dla pacjenta pacjent2pkt@domena.tld spam przy przekroczeniu 1 lub 2 pkt, i gotowe.
To w rpzypadku takiego dziadostwa jak Exim czy Postifix, w QMmailu wystarczy wyeksportować globalnie zmienną
QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue
i wszystko, co dostanie [b]/var/qmail/bin/sendmail[/b] leci przez filtr spamowy,
w którym wystarczy zmienić jeden drobiazg, żeby wywalał spam zamiast wysyłać ze zmienionym nagłówkiem.
Albo po prostu wywalić/zablokować funkcję mail(), i niech wszystko lata przez serwer pocztowy po tcp, a tam na serwerze pocztowym można dowolne filtry ustawiać.
Offline
nikt nie hejtue wp a przynamniej nie ja ;p sam z niego korzystam. Z powodzeniem od lat kilku (+5) bez reinstalacji
Offline
Niestety problem ciagle wystepuje, tzn dostaje mnoswo maili tytulowanych "Undelivered mail returned to Sender" tym razem juz z komunikatem ze moje IP jest na czarnej liscie. Czy ktos z Was podjalby sie poszukania zrodla i wyeliminowania problemu?
Offline
zaoraj WP i postaw od nowa w aktualnych wersjach. Możesz ewentualnie pojechać konto/serwer maldetem - tylko nie zawsze wykryje podejrzane pliki.
Offline
Wordpressa uzywam od dwoch miesiecy i to zawsze w najnowszej wersji a z mailami mam okresowo problemy od paru lat. Szukam kogos kto sie na tym zna i by mi to ogarnal
Offline
pytanie: czy te maile przechodzą przez twojego postfixa (sprawdź w logach).
zablokowałeś funkcję mail w php?
jeśli twój ip jest na blackliście to raczej nie efekt skopanego spf ale na wszelki wypadek podaj treść rekordu dla domeny.
Offline
Jak to sprawdzić?
mail w php potrzebuję wieć nie mogę zablokować.
Do serwera podpięte jest kilka domen. Dla głównej domeny SFP wygląda tak:
domenapl. IN>TXT<---><------>"v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all" poczta IN TXT "v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all"
Do wszyskich pozostałych zresztą też.
Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data
Ostatnio edytowany przez DeWu (2015-04-28 08:27:37)
Offline
Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data[/quote]
To jest SYF. Sprawdź clamem/maldetem wszystkie konta (albo nawet i cały serwer ;]) do tego polecamKod:
man lsof man strace
LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]
Offline
nie potrzebujesz funkcji mail w php i od tego zacznij. a proces możesz sobie sprawdzić po pidzie o odpowiednich informacjach w /proc/<pid>.
btw. zamień ~all na -all (była ostatnio dyskusja na ten temat).
Ostatnio edytowany przez ethanak (2015-04-28 12:08:16)
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00057 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.175.166' WHERE u.id=1 |
0.00106 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.175.166', 1732608231) |
0.00029 | SELECT * FROM punbb_online WHERE logged<1732607931 |
0.00075 | SELECT topic_id FROM punbb_posts WHERE id=286252 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=27321 ORDER BY posted |
0.00032 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27321 AND t.moved_to IS NULL |
0.00024 | SELECT search_for, replace_with FROM punbb_censoring |
0.00177 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27321 ORDER BY p.id LIMIT 0,25 |
0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27321 |
Total query time: 0.00597 s |