Есть спецы по линуксу? - Флейм

Незнаю даже куда написать, может кто посоветует что. Вобщем у одного моего приятеля есть зареганный домен на reg.ru и вебсайт на отдельном vps хостинге. На хостинге настроено dns для отправки/принятия почты с домена. Также этот домен подключен к gmail, так что входящая/исходящая почта с этого домена приходит на gmail. Проблема в том что на серваке периодически вырастают до огромного размера логи и место на диске заканчивается.

Техподдержка хостинга пишет что логи засираются из-за спама и ротация логов делу не поможет. Как избавится от спама и найти источник? Я не очень то спец по таким вещам, пробовал настраивать spf по рекомендациям в интернете, искать скрипт который может этот спам отправлять но все тщетно. У меня есть сомнения по поводу того, что спам отправляется именно с сервера хостера, я пробовал смотреть заголовки логов php mail там вроде нет никаких скриптов.

Вобщем нужен спец по этим вопросам и я незнаю где такого можно найти. Сейчас смотрел, за несколько дней почтовый лог вырос до 1.5 gb. Человек впринципе готов заплатить за решение проблемы.

Одна из причин отказа от ВДСок и перехода на обычный виртуальный хостинг.
Ну и почту проще переключать на гугл\яндекс.
Никаких проблем и настроек.

ЗЫ. Контакты пары админов где-то были, правда на аську запустить.

Всмысле, как переключать? А на обычном хостинге мне кажется могли бы вообще его заблокировать или удалить аккаунт.

Всмысле, как переключать? А на обычном хостинге мне кажется могли бы вообще его заблокировать или удалить аккаунт.

Ну на уровне днс направить почту на яндекс\гугл.
Зачем почту обрабатывать своими средствами?
Там надо спам-фильтры, обратные зоны, следить за непопаданием в спам-списки итп - очень дорого администрировать.

А как это сделать? Я вот сейчас подумал, может это не сервер спам отправляет а на почтовый ящик домена приходит спам? gmail его блокирует а сервер нет. Я просто логи не умею эти читать, сликом сложные, непонятно там ничего. Тогда может нужно просто заблокировать прием входящей почты на сервере или перенаправлять на gmail как вы советуете. Хотя маловерятно потому что даже если я отправляю нормальную почту с сервера она приходит на gmail с пометкой спам. Значит таки с его домена спам отправляется.

Про Google не скажу, работаю с яндексом - https://yandex.ru/support/pdd/set-mail/mx.xml
То есть MX-записи смотрят на Яндекс и почта идёт туда, а не на сервер.
Ну а A-записи для http смотрят как обычно на сервер, сайт крутится себе на хостинге.

В последних ISP даже есть стандартная настройка mx для яндекса.

вобще сейчас открыл старую переписку с хостером там такое было:

Как мы видим, лог файлы забились из-за рассылки спама с Вашего сервера. Судя по техническим заголовкам писем, рассылка идёт из взломанного ящика:
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=webmaster@globalsect.ru
Вам нужно срочно сменить пароль к этому ящику.

Но он менял уже пароль, проблему это не решило. а вот настройки сервера dns:

globalsect.ru.   ns3.fastvps.ru. NS
globalsect.ru.   ns2.fastvps.ru. NS
globalsect.ru.   dns.fastdns24.com.NS
globalsect.ru.   185.4.72.102   A
mail                185.4.72.102   A
www               185.4.72.102   A
globalsect.ru.  ns4.fastvps.ru.  NS
globalsect.ru   mxs1.reg.ru   MX  10
globalsect.ru   v=spf1 a mx include:_spf.google.com -all TXT
globalsect.ru   mxs2.reg.ru   MX  5

блин я тут кажется нащупал кое что. У него там стоит какой-то компонент com_mailto. И форма обратной связи http://globalsect.ru/contact. И что я вижу в коде этого компонента:

Это что же получается я могу указать в посте адресата или даже массив адресатов и жахнуть туда любое письмо? Пока отключил отправку, тем более там есть другая контактная форма.

А, ну это древняя история.
Со времен 1.0 вроде такие формы не используются изза спама

не помогло. лог продолжает расти под сотни килобайт за минуту

@zomby6888 логи просматривали из какого файла отсылают, в PHP5.3 и выше логирование есть там и видно откуда рассылка идет

в php.ini


в .htaccess

Ну снести нафиг службу отправки.
Отправлять по smtp

в PHP5.3 и выше логирование есть там и видно откуда рассылка идет

Да я в курсе, смотрел этот лог но там практически ничего нету


а вот другие логи забиты. получается это не через phpmail отправка идет

Пока отключил отправку, тем более там есть другая контактная форма.

Выключил в админке или снес форму?
Если первое - то ботам как-то без разницы.

Выключил в админке или снес форму?

Я закоментил код, который производит отправку

как нету, файл указан
от версии 1.5, а уже потом смотреть от куда ноги и отключать все лишнее, как сами в прочем уже начали находить рассылка идет через формы движка

как нету, файл указан

А это нормально что там только одна запись?
Я вобщем то грохнул этот файл к фигам. Посмотрим что будет с логами.
Так кажется перестал расти лог

Не нефига не помогло. Тока что на мегабайт вырос лог за несколько минут. Что же это за хренотень такая?

vps отдельный? или хостинг
на руг ру тп качественная и ответы дает всегда качественно и помогает
если рассылка через сайт то её можно по логам найти, а может рассылка идет с самого vps если он отдельный, после взлома сайта могли завладеть сервером (вашим выделенным куском дедика)

вот кусок одного из логов, которые растут:

Feb 22 04:03:51 globalsect postfix/error[31935]: 95F2D925F: to=<kromanl@yahoo.com>, relay=none, delay=129047, delays=129046/0.2/0/1.1, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.216.25] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/error[31890]: 916DCA2B7: to=<shannamaurice@aol.com>, relay=none, delay=126166, delays=126165/0.19/0/1.1, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.164] refused to talk to me: 421 mtaig-mce02.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31934]: 995667574: host mta6.am0.yahoodns.net[98.138.112.38] said: 421 4.7.0 [TS01] Messages from 185.4.72.102 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM command)
Feb 22 04:03:51 globalsect postfix/smtp[31934]: 995667574: lost connection with mta6.am0.yahoodns.net[98.138.112.38] while sending RCPT TO
Feb 22 04:03:51 globalsect postfix/error[31956]: 98137904D: to=<kennethtrosclair@aol.com>, relay=none, delay=129247, delays=129246/0.22/0/1, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.164] refused to talk to me: 421 mtaig-mce02.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31949]: 6022BA0F1: to=<ricktucker@ricktucker.com>, relay=mail.ricktucker.com[216.169.159.11]:25, delay=126697, delays=126695/0.13/1.3/0.26, dsn=4.0.0, status=deferred (host mail.ricktucker.com[216.169.159.11] said: 451 Client host blocked using Barracuda Reputation, see http://www.barracudanetworks.com/reputation/?r=1&ip=185.4.72.102 (in reply to RCPT TO command))
Feb 22 04:03:51 globalsect postfix/error[31887]: 9278D758B: to=<b.tieba@yahoo.fr>, relay=none, delay=133222, delays=133221/0.03/0/1.2, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-eu.mail.am0.yahoodns.net[188.125.69.79] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/error[31887]: 9278D758B: to=<b_franco20@yahoo.fr>, relay=none, delay=133222, delays=133221/0.03/0/1.2, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx-eu.mail.am0.yahoodns.net[188.125.69.79] while sending RCPT TO)
Feb 22 04:03:51 globalsect postfix/smtp[31990]: 6A3DB75C8: to=<babybmarina@aim.com>, relay=mailin-03.mx.aol.com[152.163.0.99]:25, delay=133219, delays=133217/0.04/2.6/0, dsn=4.0.0, status=deferred (host mailin-03.mx.aol.com[152.163.0.99] refused to talk to me: 421 mtaig-aak01.mx.aol.com Service unavailable - try again later)
Feb 22 04:03:51 globalsect postfix/smtp[31836]: 994A092A4: to=<kvoigt@hutchtel.net>, relay=mail3.newulmtel.net[66.60.193.46]:25, delay=129017, delays=129016/0.03/1.5/0, dsn=4.0.0, status=deferred (host mail3.newulmtel.net[66.60.193.46] refused to talk to me: 554-mail3.newulmtel.net 554 Message was rejected due to poor reputation of IP address: 185.4.72.102)
Feb 22 04:03:51 globalsect postfix/error[31856]: 995667574: to=<ausaf_ahmadspl@yahoo.com>, relay=none, delay=133264, delays=133263/0.13/0/0.82, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.136.216.25] while sending RCPT TO)

Похоже это вообще не через phpmail идет почта. Вы думаете vps-ку взломали ? VPS -ка на хостинге fastvps.ru находится. Вобще он уже успел сменить несколько хостингов. Может это идти со старых серверов как-то?

Вы думаете vps-ку взломали ?

Неправильное выражение, при взломе сайта могут захватить vps и им пользоваться если он настроен плохо.
А от gmail лог/пас меняли? Может у них почту на gmail увели)
Если он менял много серверов то может рассылка через один из старых как вариант, если они еще не открепились.

Да должны были открепится по идее. Сайт уже почти год на новом хостинге. Пароль он менял уже. А чем можно впску на вирусы просканировать? Через ssh можно как то?
Может вот это https://www.mailscanner.info/ попробовать? Один фиг я даже установить не могу это хозяйство, нужен специалист. Даже не знаю где можно найти такого человека.

А чем можно впску на вирусы просканировать?

Встроенными антивирусами, если нет установить.
Сам сайт проверяли на взлом? Если чистился может что то пропустили.

Как вариант просто забыли декабрьский патч. Для сайта пробовали функцию майл отключить на время?

Для сайта пробовали функцию майл отключить на время?

Я вобще удалил файлы которые за отправку почты на Joomla отвечают. Но логи продолжают расти. На 600мб за день выросли.

Сам сайт проверяли на взлом

Я не думаю что это через Joomla рассылается. Было бы видно в логах наверное. Но в любом случае я просканировал айболитом сайт. Он ничего не нашел.
Можно было бы наверное вообще сайт заблокировать как то и проверить будут ли логи расти. Как это проще всего сделать? Надолго это делать нельзя так как там идут продажи и реклама. Но за несколько минут будет видно растут логи или нет.

сайт точно один

Отключите mail() и отправку через SMTP сделайте. Или несколько минуть запретите выполнение php в каталоге сайта и отключите аккаунт. А потом логи смотрите будут ли расти.

Как отключить php? Или может можно как то в htaccess заблокировать доступ ко всем папкам и подпапкам? Если я напишу инструкцию deny all в корне, а в какой нибудь подпапке будет лежать htaccess разрешающий к ней доступ, будет ли к этой папке доступ открыт?

Ну один из способов - выставить права (запретить выполнение) рекурсивно

Какой то командой? Надо чтобы можно быстро потом было восстановить доступ