Массовая расылка спама с моего сервера VPS

antony2606

Давно я тут
634
46 / 4
Работаем!

Массовая расылка спама с моего сервера VPS

« : 19.06.2013, 19:26:14 »

Здравствуйте, ребят! Подскажите плз, в какую сторону копать, на какие папки стоит обратить особое внимание.
Периодически с моего сервака рассылается огромное колво спама на почтовые ящики яху от случайного отправителя вида(пример): мишабоярский@мойдомен.ру
Письма на английском, тематика разнообразная. Ни одного почтового ящика на сервере не создано. Все пассы надежные, JoomShopping и джумка последних версий (больше расширений нет). ТП хостинга говорит о том, что эта проблема полностью на моих плечах и ничем помочь, кроме типичных рекоммендаций не могут( Сайт сканил на вирусы - результатов нет.

мейлер демон:

Received: (qmail 16776 invoked by uid 10008); 19 Jun 2013 18:29:58 +0400
Date: 19 Jun 2013 18:29:58 +0400
Message-ID: <20130619142958.16772.qmail@vps-*****.host4g.ru>
To: mr.buncit91@yahoo.com
Subject: Re: Girl in ropes bondaged
X-PHP-Originating-Script: 10008:config.php
From: "Socorro Hunter" <socorro_hunter@мой_домен>
Reply-To: "Socorro Hunter" <socorro_hunter@мой_домен>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #1 : 19.06.2013, 19:46:14 »

А php 5.3 его сдаёт )

Цитировать

X-PHP-Originating-Script: 10008:config.php

Ищите файл config.php

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #2 : 19.06.2013, 20:28:18 »

Цитата: SDKiller от 19.06.2013, 19:46:14

А php 5.3 его сдаёт )

Ищите файл config.php

Собсна, куча файлов найдено...

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #3 : 19.06.2013, 20:39:13 »

Ну в чистой 2.5 таковых всего 3
Остальные могут быть только от других расширений.
Сравнивайте с официальными дистрибутивами, только сначала убедитесь что они официальные а не как в другой вашей теме.
Можно наудачу запустить по найденным текстовый поиск слова mail, открывайте и смотрите на предмет чего-нибудь подозрительного - какие-то функции по отправке email
А уж тем более если там встретится что-то закодированное.

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #4 : 19.06.2013, 20:45:12 »

Все поглядел, все файлы чистенькие, ничего подозрительного не выявил(

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

flyingspook

Moderator
3590
247 / 9

Re: Массовая расылка спама с моего сервера VPS

« Ответ #5 : 19.06.2013, 23:29:25 »

посмотрите папки com_content и templates на фронте и в бэкенде там бывает чаще всего и визуально по файлам видна разница по сравнению с оригиналами

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #6 : 20.06.2013, 02:15:12 »

Цитата: flyingspook от 19.06.2013, 23:29:25

посмотрите папки com_content и templates на фронте и в бэкенде там бывает чаще всего и визуально по файлам видна разница по сравнению с оригиналами

Ох, что только не делал(( И ВСЕ файлы, ВСЕ папки перековырял, но все тщетно( спам по прежнему отсылает

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

ELLE

Глобальный модератор
4505
893 / 0

Re: Массовая расылка спама с моего сервера VPS

« Ответ #7 : 20.06.2013, 03:09:48 »

он может и просто index.php называться, так что...ищите

Записан

Быстрый просмотр товаров для Joomshopping
Бесконечный скроллинг для Joomla

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #8 : 20.06.2013, 03:38:30 »

Цитата: ELLE от 20.06.2013, 03:09:48

он может и просто index.php называться, так что...ищите

Понимаю...ищу. Уже весь FAQ по паралеллс панели выкурил, нет материала, который подскажет какой сценарий выполняется для рассылки(

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

draff

Гуру
5801
434 / 7
ищу работу

Re: Массовая расылка спама с моего сервера VPS

« Ответ #9 : 20.06.2013, 07:43:11 »

Активация пользователей включена? В настройках материалов- показ значка mail отключен ?

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #10 : 20.06.2013, 07:47:59 »

Цитата: ELLE от 20.06.2013, 03:09:48

он может и просто index.php называться, так что...ищите

Цитата: antony2606 от 20.06.2013, 03:38:30

.... какой сценарий выполняется для рассылки(

Ну судя по заголовку

Код

X-PHP-Originating-Script: 10008:config.php

называется он всё-таки config.php и отправляет он через встроенную функцию php mail()

Переопределить этот заголовок скрипт не может если верить тому что написано здесь

Цитировать

So the short answer is no, it's not possible without patching PHP's core...

Попробуйте вычислить через логи

http://romantelychko.com/blog/958/

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #11 : 20.06.2013, 10:38:05 »

SDKiller Я ХОЧУ ОТ ВАС ДЕТЕЙ !))) СПЕШУ ПОДЕЛИТЬСЯ РАДОСТЬЮ! сейчас всё по порядку опишу...!

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #12 : 20.06.2013, 10:43:32 »

Цитата: antony2606 от 20.06.2013, 10:38:05

SDKiller Я ХОЧУ ОТ ВАС ДЕТЕЙ !)))

Я не такой

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #13 : 20.06.2013, 11:03:45 »

Цитата: SDKiller от 20.06.2013, 10:43:32

Я не такой

Ну и я не всегда такой...)))))

Собсна решение:

Признаться, я сначала не поверил в столь простой способ, описанный вами выше ( проверять файл config.php )
Думал, что наверняка заголовок подмененный. Но все оказалось именно так, как вы написали!
очень полезна и познавательна оказалась ваша статья.
Включил логирование и опля - httpdocs/administrator/components/com_jshopping/views/attributesvalues/tmpl/config.php
со следующим содержимым:

Спойлер

[свернуть]

Дорогой SDKiller, я очень вам признателен за помощь! Спасибище огромное!
И всем, кто откликнулся - тоже большущий респект!

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #14 : 20.06.2013, 11:15:46 »

Цитата: antony2606 от 20.06.2013, 11:03:45

очень полезна и познавательна оказалась ваша статья.

Ну статья-то не моя

Записан

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #15 : 20.06.2013, 11:20:24 »

Цитата: antony2606 от 20.06.2013, 11:03:45

Включил логирование и опля - httpdocs/administrator/components/com_jshopping/views/attributesvalues/tmpl/config.php
со следующим содержимым:

Вот наверное познавательно будет узнать как вы JoomShopping ставили - с офсайта или он шёл в квикстарте какого-нибудь шаблона?

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #16 : 20.06.2013, 11:30:07 »

Цитата: SDKiller от 20.06.2013, 11:20:24

Вот наверное познавательно будет узнать как вы JoomShopping ставили - с офсайта или он шёл в квикстарте какого-нибудь шаблона?

Действительно ! забыл уточнить. ДШ взят отседова JoomShopping.pro

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #17 : 20.06.2013, 11:44:55 »

Цитата: antony2606 от 20.06.2013, 11:30:07

Действительно ! забыл уточнить. ДШ взят отседова JoomShopping.pro

Ну то что у них там на данный момент выложено я скачал, по пути

Цитировать

administrator/components/com_jshopping/views/attributesvalues/tmpl/config.php

такого файла не нашёл.
Проверьте установочный пакет, который скачивали вы.

Если там нет - вероятно что файл установился с каким-то модулем-плагином под JoomShopping, который вы ставили дополнительно.
Трудно представить что рядовой бот его положил в такое место - компонент всё же специализированный.

Записан

voland

Легенда
11026
588 / 112
Эта строка съедает место на вашем мониторе

Re: Массовая расылка спама с моего сервера VPS

« Ответ #18 : 20.06.2013, 11:52:26 »

Цитата: SDKiller от 20.06.2013, 11:44:55

Трудно представить что рядовой бот его положил в такое место - компонент всё же специализированный.

Ложат, ложат.. куда они только не ложат..

Записан

Почему не стоит регистрировать домены у хостера!! | Рекомендую хостеров:
ihc.ru — код K4AZQGKQOJ дает скидку 10%, | timeweb
Удалю вирусы, закрою уязвимости + доработки,SEO и оферта | Патчи 1.5\2.5, <3.4.6 УЯЗВИМЫ! | Поблагодарить

flyingspook

Moderator
3590
247 / 9

Re: Массовая расылка спама с моего сервера VPS

« Ответ #19 : 20.06.2013, 11:53:16 »

кстати важность от куда 50%х50%
вот вопрос в другом пока искали ни чего стороннего не увидели, а то рассылки могут и возобновиться

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

SDKiller

Живу я здесь
2705
329 / 5
...ergo sum

Re: Массовая расылка спама с моего сервера VPS

« Ответ #20 : 20.06.2013, 11:57:28 »

Цитата: flyingspook от 20.06.2013, 11:53:16

кстати важность от куда 50%х50%
вот вопрос в другом пока искали ни чего стороннего не увидели, а то рассылки могут и возобновиться

Вот отсюда и важность вопроса "откуда".
Если достоверно известно откуда файл пришёл - соответственно можно и говорить о том искать что-то "стороннее" или источник установлен.

Записан

antony2606

Давно я тут
634
46 / 4
Работаем!

Re: Массовая расылка спама с моего сервера VPS

« Ответ #21 : 20.06.2013, 12:02:35 »

Вот оно что! Есть еще вот такой компонентик Sj Extra Slider for JoomShopping (варез) ставился не мной. Ща и его под корешок вырублю

Записан

КОНСУЛЬТАЦИИ ДЛЯ НОВИЧКОВ

Werwolf

Осваиваюсь на форуме
18
2 / 0

Re: Массовая расылка спама с моего сервера VPS

« Ответ #22 : 20.06.2013, 12:17:35 »

Проверьте ваш сервер на наличие вирусов и mailware. Например если у вас linux, поставьте maldet. В большинстве случаев это помогает избежать сомнений по поводу того, заражен ваш сервер или нет.

Записан

Компонент Жимолость - защита от спама и ботов Автор Гоша_Компьютерный	Ответов: 7 Просмотров: 2725	04.04.2025, 11:58:13 от Simply
Спасти сайт от спама Автор wahrenz	Ответов: 29 Просмотров: 3795	23.05.2018, 16:04:09 от wahrenz
Массовая расылка спама с моего сервера Автор Евгений1980	Ответов: 37 Просмотров: 5885	27.02.2018, 23:33:48 от capricorn
Ошибка со входом в админку. Сообщение сервера: Subdomain authorization Автор Ayano	Ответов: 16 Просмотров: 12677	02.08.2016, 17:00:16 от flyingspook
Спамят с моего сайта Автор Alexej79	Ответов: 8 Просмотров: 2312	25.07.2016, 01:07:37 от winstrool

Совет по Joomla: использовать выключенное состояние для кнопок в списках элементов админки

Онлайн-трансляции Joomla-разработки Игоря Бердичевского

20 лет Joomla: Ринат Кажетов

Похожие темы