Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-04-23 22:44:18

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Ponad 700 maili w skrzynce

Witam
Dzisiaj znalazłem setki (ponad 700) zatytuowanych głownie Undelivered Email returned to sender. W treści maila:

Kod:

This is the mail system at host poczta.mojadomena.pl.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<devin3935@gmail.com>: host gmail-smtp-in.l.google.com[173.194.67.26] said:
    550-5.7.1 [82.160.220.20      12] Our system has detected that this message
    is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to
    Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1
    http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
    5.7.1 more information. gb9si56076wib.107 - gsmtp (in reply to end of DATA
    command)

Reporting-MTA: dns; poczta.mojadomena.pl
X-Postfix-Queue-ID: 16B6F2BB4E3
X-Postfix-Sender: rfc822; susanne_chavez@Hmojadrugadomenadomena.pl
Arrival-Date: Thu, 23 Apr 2015 20:45:21 +0200 (CEST)

Final-Recipient: rfc822; devin3935@gmail.com
Original-Recipient: rfc822;devin3935@gmail.com
Action: failed
Status: 5.7.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.1 [82.160.220.20      12] Our system has
    detected that this message is 550-5.7.1 likely unsolicited mail. To reduce
    the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked.
    Please visit 550-5.7.1
    http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
    5.7.1 more information. gb9si56076wib.107 - gsmtp

Jako nadawca przewija sie kilka adresów w domenie mojadrugadomenadomena.pl. Na serwerze mam postfixa z kilkoma virtual domenami i catch-allami w trzech domenach. Gdzie szukac przyczyny takiego zachowania ?

Offline

 

#2  2015-04-24 08:33:59

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Ponad 700 maili w skrzynce

Wygląda na spam rozsyłany. Masz włączone php mail w tych domenach?


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#3  2015-04-24 12:23:50

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Ponad 700 maili w skrzynce

Mam ale to nie jest maszyna hostingowa. Nikt nie ma do niej dostepu poza mna. Mam na niej tylko swojego bloga opartego na Wordpresie.

Offline

 

#4  2015-04-24 13:38:06

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

zapodaj rekord spf dla domeny
co do wordpressa - sprawdź sobie wszystkie wtyczki, miałem ostatnio pacjenta z dziurawym wordpressem (gdyby nie pozostałe zabezpieczenia to bym jeszcze przez tydzień się z rbl-i wypisywał).
pacjentowi na leczenie wordpressa przepisano fakturę - bardzo skuteczny lek.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#5  2015-04-24 14:12:22

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Ponad 700 maili w skrzynce

na leczenie WP najskuteczniejszym lekiem jest: cp *.(jpg|png|gif); mysqldump, rm -rf; instalacja świeżego


LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#6  2015-04-24 14:21:44

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

czyli reinstalacja dziurawej wtyczki ma w czymś pomóc (oprócz poprawienia samopoczucia admina)? ciekawa teoria...


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#7  2015-04-24 15:21:52

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Ponad 700 maili w skrzynce

Najlepszym sposobem na leczenie wordpressa jest jego usunięcie i postawienie na nowo.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#8  2015-04-24 16:17:02

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

a co zmieni postawienie na nowo starej znanej dziury?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#9  2015-04-24 16:50:04

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Ponad 700 maili w skrzynce

Świeży wordpress + wtyczki zaktualizowane o to mi chodzi.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#10  2015-04-24 17:25:54

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ponad 700 maili w skrzynce

Wordpressa trzeba solidnie zabezpieczyć, wtedy wytrzyma dużo więcej, niż się niektórym zdaje.

Np SQL-Injection:

Kod:

| Grants for wordpress4@localhost                                                                                   |
+-------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT, CREATE TEMPORARY TABLES, SHOW VIEW ON `wordpress4`.* TO 'wordpress4'@'localhost'                    |
| GRANT SELECT, INSERT ON `wordpress4`.`wp_comments` TO 'wordpress4'@'localhost'

I wp-config.php:               

Kod:

if (strstr($_SERVER["SSL_CLIENT_VERIFY"], 'SUCCES')) {
    if(strstr($_SERVER["SSL_CLIENT_COMMONNAME"], '{TWOJA_NAZWA_Z_CERTU}')) {

        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4admin');
        define('DB_PASSWORD', '{hasełko_admina_wordpressa}');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
    }
}


else
{    
        define('DB_NAME', 'wordpress4');
        define('DB_USER', 'wordpress4');
        define('DB_PASSWORD', '{hasełko_dla_bloga}');
        define('DB_HOST', 'localhost:/var/run/mysqld/mysqld.sock');
        define('FS_METHOD', 'direct');
        define('DB_CHARSET', 'utf8');
        define('DB_COLLATE', '');
}

Potem zrobić dwa Vhosty, na jednym logowanie po PKCS12/ssl do panelu admina,
na drugim chodzi blog, do tego dwóch userów w Mysqlu z różnymi uprawnieniami do bazy Wordpressa.

SOA#1

Jak "grzecznie poprosicie", to mam jeszcze konfig do Nginxa dla WP, i skrypta do automatycznej aktualizacji poleceniem z konsoli, z użyciem wp-cli, do tego profile Apparmora do Nginxa i do PHP-FPM. ;)

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-04-24 17:37:57)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2015-04-24 18:07:02

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Ponad 700 maili w skrzynce

Hejtujecie tego Wordpressa zupełnie niepotrzebnie. Chociaz mati75byl bliko, Winowajca okazal sie autorski CMS mojego znajomego ktory wykorzystywal jakis modul javascript upload. W dodatku kolega dal chmoda 777 na caly swoj folder co pozwolilo atakujacemu zapisac na serwerze pliki .php ktore najprawdopodbniej rozyslaly spam (nie wiem co robily dokladnie bo yly zakodowane Zendem) W kazdym badz razie sytuacja juz opanowana a z kolejki postfixa zniknello 138 000 maili.

Offline

 

#12  2015-04-24 18:55:27

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

czyli nie jest to serwer do którego tylko ty masz dostęp - bo jeszcze jest jakiś kmieć ze swoim superzajebiszczym programem, a pewnie jeszcze ze trzech kolesi z jakimiś wynalazkami typu 777 na folderze.
ciekawe, czemu u mnie w efekcie dziury u pacjenta serwer dostał ciężkiej zadyszki (load rzędu 500) a ilość wysłanych maili wyniosła 0 koma 0...


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#13  2015-04-24 19:07:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ponad 700 maili w skrzynce

Na spam z php mail(0 też jest lekarstwo, można mu jako polecenie podłożyć spamc.

Przykład:

Kod:

/usr/bin/spamc -u pacjent2pkt@domena.tld -E  -e /usr/bin/sendmail -o -i

Potem w bazie danych z konfiguracją Spamassasina ustawiamy dla pacjenta pacjent2pkt@domena.tld  spam przy przekroczeniu 1 lub 2 pkt, i gotowe.

To w rpzypadku takiego dziadostwa jak Exim czy Postifix, w QMmailu wystarczy wyeksportować globalnie zmienną

Kod:

QMAILQUEUE=/var/qmail/bin/qmail-scanner-queue

i wszystko, co dostanie [b]/var/qmail/bin/sendmail[/b] leci przez filtr spamowy,
w którym wystarczy zmienić jeden drobiazg, żeby wywalał spam zamiast wysyłać ze zmienionym nagłówkiem.

Albo po prostu wywalić/zablokować funkcję mail(), i niech wszystko lata przez serwer pocztowy po tcp, a tam na serwerze pocztowym można dowolne filtry ustawiać.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2015-04-25 12:21:52

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Ponad 700 maili w skrzynce

nikt nie hejtue wp a przynamniej nie ja ;p sam z niego korzystam. Z powodzeniem od lat kilku (+5) bez reinstalacji


LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#15  2015-04-27 11:40:13

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Ponad 700 maili w skrzynce

Niestety problem ciagle wystepuje, tzn dostaje mnoswo maili tytulowanych "Undelivered mail returned to Sender" tym razem juz z komunikatem ze moje IP jest na czarnej liscie. Czy ktos z Was podjalby sie poszukania zrodla i wyeliminowania problemu?

Offline

 

#16  2015-04-27 11:56:17

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Ponad 700 maili w skrzynce

zaoraj WP i postaw od nowa w aktualnych wersjach. Możesz ewentualnie pojechać konto/serwer maldetem - tylko nie zawsze wykryje podejrzane pliki.


LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#17  2015-04-27 12:01:42

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Ponad 700 maili w skrzynce

Wordpressa uzywam od dwoch miesiecy i to zawsze w najnowszej wersji a z mailami mam okresowo problemy od paru lat. Szukam kogos kto sie na tym zna i by mi to ogarnal

Offline

 

#18  2015-04-27 12:56:44

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

pytanie: czy te maile przechodzą przez twojego postfixa (sprawdź w logach).
zablokowałeś funkcję mail w php?
jeśli twój ip jest na blackliście to raczej nie efekt skopanego spf ale na wszelki wypadek podaj treść rekordu dla domeny.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#19  2015-04-28 08:26:38

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Ponad 700 maili w skrzynce

Jak to sprawdzić?

mail w php potrzebuję wieć nie mogę zablokować.

Do serwera podpięte jest kilka domen. Dla głównej domeny SFP wygląda tak:

Kod:

domenapl. IN>TXT<---><------>"v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all"
poczta IN  TXT    "v=spf1 ip4:IP.IP.IP.2 ip4:IP.IP.IP.20 a mx ~all"

Do wszyskich pozostałych zresztą też.

Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data

Ostatnio edytowany przez DeWu (2015-04-28 08:27:37)

Offline

 

#20  2015-04-28 10:13:07

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Ponad 700 maili w skrzynce

Dzisiaj znowu powtórka. load 88, najwiecej zuzywal proces host uzytkownika www-data[/quote]
To jest SYF. Sprawdź clamem/maldetem wszystkie konta (albo nawet i cały serwer ;]) do tego polecam

Kod:

man lsof
man strace

LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#21  2015-04-28 12:06:47

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ponad 700 maili w skrzynce

nie potrzebujesz funkcji mail w php i od tego zacznij. a proces możesz sobie sprawdzić po pidzie o odpowiednich informacjach w /proc/<pid>.
btw. zamień ~all na -all (była ostatnio dyskusja na ten temat).

Ostatnio edytowany przez ethanak (2015-04-28 12:08:16)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00003 SET NAMES latin2
0.00057 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.175.166' WHERE u.id=1
0.00106 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.175.166', 1732608231)
0.00029 SELECT * FROM punbb_online WHERE logged<1732607931
0.00075 SELECT topic_id FROM punbb_posts WHERE id=286252
0.00005 SELECT id FROM punbb_posts WHERE topic_id=27321 ORDER BY posted
0.00032 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27321 AND t.moved_to IS NULL
0.00024 SELECT search_for, replace_with FROM punbb_censoring
0.00177 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27321 ORDER BY p.id LIMIT 0,25
0.00080 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27321
Total query time: 0.00597 s