Форум русской поддержки Joomla!® CMS
09.12.2016, 07:59:49 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Есть спецы по линуксу?

 (Прочитано 831 раз)
0 Пользователей и 1 Гость смотрят эту тему.
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« : 23.02.2016, 17:39:15 »

Незнаю даже куда написать, может кто посоветует что. Вобщем у одного моего приятеля есть зареганный домен на reg.ru и вебсайт на отдельном vps хостинге. На хостинге настроено dns для отправки/принятия почты с домена. Также этот домен подключен к gmail, так что входящая/исходящая почта с этого домена приходит на gmail. Проблема в том что на серваке периодически вырастают до огромного размера логи и место на диске заканчивается.

Техподдержка хостинга пишет что логи засираются из-за спама и ротация логов делу не поможет. Как избавится от спама и найти источник? Я не очень то спец по таким вещам, пробовал настраивать spf по рекомендациям в интернете, искать скрипт который может этот спам отправлять но все тщетно. У меня есть сомнения по поводу того, что спам отправляется именно с сервера хостера, я пробовал смотреть заголовки логов php mail там вроде нет никаких скриптов.

Вобщем нужен спец по этим вопросам и я незнаю где такого можно найти. Сейчас смотрел, за несколько дней почтовый лог вырос до 1.5 gb. Человек впринципе готов заплатить за решение проблемы.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #1 : 23.02.2016, 18:39:08 »

Одна из причин отказа от ВДСок и перехода на обычный виртуальный хостинг.
Ну и почту проще переключать на гугл\яндекс.
Никаких проблем и настроек.

ЗЫ. Контакты пары админов где-то были, правда на аську запустить.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #2 : 23.02.2016, 18:42:23 »

Всмысле, как переключать? А на обычном хостинге мне кажется могли бы вообще его заблокировать или удалить аккаунт.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #3 : 23.02.2016, 18:46:12 »

Всмысле, как переключать? А на обычном хостинге мне кажется могли бы вообще его заблокировать или удалить аккаунт.
Ну на уровне днс направить почту на яндекс\гугл.
Зачем почту обрабатывать своими средствами?
Там надо спам-фильтры, обратные зоны, следить за непопаданием в спам-списки итп - очень дорого администрировать.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #4 : 23.02.2016, 18:51:57 »

А как это сделать? Я вот сейчас подумал, может это не сервер спам отправляет а на почтовый ящик домена приходит спам? gmail его блокирует а сервер нет. Я просто логи не умею эти читать, сликом сложные, непонятно там ничего. Тогда может нужно просто заблокировать прием входящей почты на сервере или перенаправлять на gmail как вы советуете. Хотя маловерятно потому что даже если я отправляю нормальную почту с сервера она приходит на gmail с пометкой спам. Значит таки с его домена спам отправляется.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #5 : 23.02.2016, 18:55:15 »

Про Google не скажу, работаю с яндексом - https://yandex.ru/support/pdd/set-mail/mx.xml
То есть MX-записи смотрят на Яндекс и почта идёт туда, а не на сервер.
Ну а A-записи для http смотрят как обычно на сервер, сайт крутится себе на хостинге.

В последних ISP даже есть стандартная настройка mx для яндекса.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #6 : 23.02.2016, 19:04:32 »

вобще сейчас открыл старую переписку с хостером там такое было:

Цитировать
Как мы видим, лог файлы забились из-за рассылки спама с Вашего сервера. Судя по техническим заголовкам писем, рассылка идёт из взломанного ящика:
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=webmaster@globalsect.ru
Вам нужно срочно сменить пароль к этому ящику.

Но он менял уже пароль, проблему это не решило. а вот настройки сервера dns:

globalsect.ru.   ns3.fastvps.ru. NS
globalsect.ru.   ns2.fastvps.ru. NS
globalsect.ru.   dns.fastdns24.com.NS
globalsect.ru.   185.4.72.102   A
mail                185.4.72.102   A
www               185.4.72.102   A
globalsect.ru.  ns4.fastvps.ru.  NS
globalsect.ru   mxs1.reg.ru   MX  10
globalsect.ru   v=spf1 a mx include:_spf.google.com -all TXT
globalsect.ru   mxs2.reg.ru   MX  5
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #7 : 23.02.2016, 19:31:23 »

блин я тут кажется нащупал кое что. У него там стоит какой-то компонент com_mailto. И форма обратной связи http://globalsect.ru/contact. И что я вижу в коде этого компонента:
Код
$email = JRequest::getString('mailto', '', 'post');
....
JFactory::getMailer()->sendMail($from, $sender, $email, $subject, $body);
 

Это что же получается я могу указать в посте адресата или даже массив адресатов и жахнуть туда любое письмо? Пока отключил отправку, тем более там есть другая контактная форма.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #8 : 23.02.2016, 19:32:45 »

А, ну это древняя история.
Со времен 1.0 вроде такие формы не используются изза спама
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #9 : 23.02.2016, 20:07:22 »

не помогло. лог продолжает расти под сотни килобайт за минуту
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #10 : 23.02.2016, 20:08:06 »

@zomby6888 логи просматривали из какого файла отсылают, в PHP5.3 и выше логирование есть там и видно откуда рассылка идет

в php.ini

Код:
mail.log = DocumentRoot mail.log
mail.add_x_header = 1

в .htaccess
Код:
php_value mail.add_x_header 1

php_value mail.log  /DocumentRoot/mail.log
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #11 : 23.02.2016, 20:08:18 »

Ну снести нафиг службу отправки.
Отправлять по smtp
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #12 : 23.02.2016, 20:16:12 »

Цитировать
в PHP5.3 и выше логирование есть там и видно откуда рассылка идет

Да я в курсе, смотрел этот лог но там практически ничего нету

Показать текстовый блок

а вот другие логи забиты. получается это не через phpmail отправка идет
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #13 : 23.02.2016, 20:17:53 »

Пока отключил отправку, тем более там есть другая контактная форма.
Выключил в админке или снес форму?
Если первое - то ботам как-то без разницы.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #14 : 23.02.2016, 20:19:19 »

Цитировать
Выключил в админке или снес форму?

Я закоментил код, который производит отправку
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #15 : 23.02.2016, 20:20:51 »

как нету, файл указан
Код:
libraries/phpmailer/phpmailer.php
от версии 1.5, а уже потом смотреть от куда ноги и отключать все лишнее, как сами в прочем уже начали находить рассылка идет через формы движка
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #16 : 23.02.2016, 20:23:46 »

Цитировать
как нету, файл указан

А это нормально что там только одна запись?
Я вобщем то грохнул этот файл к фигам. Посмотрим что будет с логами.
Так кажется перестал расти лог
« Последнее редактирование: 23.02.2016, 20:29:11 от zomby6888 » Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #17 : 23.02.2016, 20:30:13 »

Не нефига не помогло. Тока что на мегабайт вырос лог за несколько минут. Что же это за хренотень такая?
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #18 : 23.02.2016, 20:51:26 »

vps отдельный? или хостинг
на руг ру тп качественная и ответы дает всегда качественно и помогает
если рассылка через сайт то её можно по логам найти, а может рассылка идет с самого vps если он отдельный, после взлома сайта могли завладеть сервером (вашим выделенным куском дедика)
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #19 : 23.02.2016, 20:55:43 »

вот кусок одного из логов, которые растут:

Цитировать
Feb 22 04:03:51 globalsect postfix/error[31935]: 95F2D925F: to=<kromanl@yahoo.com>, relay=none, delay=129047, delays=129046/0.2/0/1.1, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.216.25] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/error[31890]: 916DCA2B7: to=<shannamaurice@aol.com>, relay=none, delay=126166, delays=126165/0.19/0/1.1, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.164] refused to talk to me: 421 mtaig-mce02.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31934]: 995667574: host mta6.am0.yahoodns.net[98.138.112.38] said: 421 4.7.0 [TS01] Messages from 185.4.72.102 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM command)
Feb 22 04:03:51 globalsect postfix/smtp[31934]: 995667574: lost connection with mta6.am0.yahoodns.net[98.138.112.38] while sending RCPT TO
Feb 22 04:03:51 globalsect postfix/error[31956]: 98137904D: to=<kennethtrosclair@aol.com>, relay=none, delay=129247, delays=129246/0.22/0/1, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.164] refused to talk to me: 421 mtaig-mce02.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31949]: 6022BA0F1: to=<ricktucker@ricktucker.com>, relay=mail.ricktucker.com[216.169.159.11]:25, delay=126697, delays=126695/0.13/1.3/0.26, dsn=4.0.0, status=deferred (host mail.ricktucker.com[216.169.159.11] said: 451 Client host blocked using Barracuda Reputation, see http://www.barracudanetworks.com/reputation/?r=1&ip=185.4.72.102 (in reply to RCPT TO command))
Feb 22 04:03:51 globalsect postfix/error[31887]: 9278D758B: to=<b.tieba@yahoo.fr>, relay=none, delay=133222, delays=133221/0.03/0/1.2, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-eu.mail.am0.yahoodns.net[188.125.69.79] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/error[31887]: 9278D758B: to=<b_franco20@yahoo.fr>, relay=none, delay=133222, delays=133221/0.03/0/1.2, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-eu.mail.am0.yahoodns.net[188.125.69.79] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/smtp[31990]: 6A3DB75C8: to=<babybmarina@aim.com>, relay=mailin-03.mx.aol.com[152.163.0.99]:25, delay=133219, delays=133217/0.04/2.6/0, dsn=4.0.0, status=deferred (host mailin-03.mx.aol.com[152.163.0.99] refused to talk to me: 421 mtaig-aak01.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31836]: 994A092A4: to=<kvoigt@hutchtel.net>, relay=mail3.newulmtel.net[66.60.193.46]:25, delay=129017, delays=129016/0.03/1.5/0, dsn=4.0.0, status=deferred (host mail3.newulmtel.net[66.60.193.46] refused to talk to me: 554-mail3.newulmtel.net 554 Message was rejected due to poor reputation of IP address: 185.4.72.102)
Feb 22 04:03:51 globalsect postfix/error[31856]: 995667574: to=<ausaf_ahmadspl@yahoo.com>, relay=none, delay=133264, delays=133263/0.13/0/0.82, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.216.25] while sending RCPT TO)


Похоже это вообще не через phpmail идет почта. Вы думаете vps-ку взломали ? VPS -ка на хостинге fastvps.ru находится. Вобще он уже успел сменить несколько хостингов. Может это идти со старых серверов как-то?
« Последнее редактирование: 23.02.2016, 21:00:58 от zomby6888 » Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #20 : 23.02.2016, 21:48:10 »

Вы думаете vps-ку взломали ?
Неправильное выражение, при взломе сайта могут захватить vps и им пользоваться если он настроен плохо.
А от gmail лог/пас меняли? Может у них почту на gmail увели)
Если он менял много серверов то может рассылка через один из старых как вариант, если они еще не открепились.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #21 : 23.02.2016, 21:53:54 »

Да должны были открепится по идее. Сайт уже почти год на новом хостинге. Пароль он менял уже. А чем можно впску на вирусы просканировать? Через ssh можно как то?
Может вот это https://www.mailscanner.info/ попробовать? Один фиг я даже установить не могу это хозяйство, нужен специалист. Даже не знаю где можно найти такого человека.
« Последнее редактирование: 23.02.2016, 22:22:21 от zomby6888 » Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #22 : 24.02.2016, 10:34:28 »

А чем можно впску на вирусы просканировать?
Встроенными антивирусами, если нет установить.
Сам сайт проверяли на взлом? Если чистился может что то пропустили.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #23 : 24.02.2016, 10:51:06 »

Как вариант просто забыли декабрьский патч. Для сайта пробовали функцию майл отключить на время?
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #24 : 24.02.2016, 15:34:58 »

Цитировать
Для сайта пробовали функцию майл отключить на время?

Я вобще удалил файлы которые за отправку почты на Joomla отвечают. Но логи продолжают расти. На 600мб за день выросли.

Цитировать
Сам сайт проверяли на взлом

Я не думаю что это через Joomla рассылается. Было бы видно в логах наверное. Но в любом случае я просканировал айболитом сайт. Он ничего не нашел.
Можно было бы наверное вообще сайт заблокировать как то и проверить будут ли логи расти. Как это проще всего сделать? Надолго это делать нельзя так как там идут продажи и реклама. Но за несколько минут будет видно растут логи или нет.
« Последнее редактирование: 24.02.2016, 16:00:14 от zomby6888 » Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #25 : 24.02.2016, 17:04:28 »

сайт точно один
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #26 : 24.02.2016, 19:40:28 »

Отключите mail() и отправку через SMTP сделайте. Или несколько минуть запретите выполнение php в каталоге сайта и отключите аккаунт. А потом логи смотрите будут ли расти.
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #27 : 24.02.2016, 20:14:23 »

Как отключить php? Или может можно как то в htaccess заблокировать доступ ко всем папкам и подпапкам? Если я напишу инструкцию deny all в корне, а в какой нибудь подпапке будет лежать htaccess разрешающий к ней доступ, будет ли к этой папке доступ открыт?
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #28 : 24.02.2016, 20:19:37 »

Ну один из способов - выставить права (запретить выполнение) рекурсивно
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #29 : 24.02.2016, 20:33:05 »

Какой то командой? Надо чтобы можно быстро потом было восстановить доступ
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet