Pа что отвечают файлы Subs-Post.php?

chessburg · 09 сентября 2018, 04:55:27

Прилетел опять страйк с хостинга за рассылку спама. Хочется узнать за что отвечает файл Subs-Post.php , с которого происходит спам, думаю его удалить.

valdnieks · 09 сентября 2018, 08:43:32

Цитата: chessburg от 09 сентября 2018, 04:55:27Прилетел опять страйк с хостинга за рассылку спама. Хочется узнать за что отвечает файл Subs-Post.php , с которого происходит спам, думаю его удалить.

По-конкретней, пожалуйста, детали?

kak2z · 09 сентября 2018, 09:29:20

Цитата: chessburg от 09 сентября 2018, 04:55:27Прилетел опять страйк с хостинга за рассылку спама. Хочется узнать за что отвечает файл Subs-Post.php , с которого происходит спам, думаю его удалить.

не надо его удалять.. это модель которая отвечает за работу движка с письмами/личными сообщениями/топиками и комментами) на ней много чего завязано))
а спам у Вас скорее всего по причинам:
1. Нет подписей у писем (DMARC, DKIM, SPF)
2. Постарайтесь поменять структуру писем рассылки, потому что многие спам фильтры структуру писем SMF воспринимают как спам..
3. В каждом письме рассылки уведомляйте что это рассылка с разрешения пользователя и ставьте ссылку на то место где можно отписаться от рассылки)
4. Включите в настройках форума очередь сообщений если не включена и отправляйте по 30 писем в минуту.. будет не так подозрительно - хоть и дольше)

chessburg · 09 сентября 2018, 12:48:42

По подробнее:

Сообщение от хостинга:

Рассылка проводилась используя функции PHP, с помощью Exim-почтового сервера. Просим Вас произвести анализ предоставленного лог-файла с целью выявления источника(-ов) рассылки. В качестве примера, приводим одну из записей, указывающей имя файла, функциями из которого выполнена отправка электронного письма:

Sep 7 00:13:30 shirley splogger[15869]: 1fy1ak-00047x-3Y X-PHP-Originating-Script: "1610:Subs-Post.php"

Ниже приводим расположение файлов, с названием Subs-Post.php:

ch14841@shirley:~$ find ./ -name Subs-Post.php
./chessburg.ru/public_html/forum/Sources/Subs-Post.php

Просим обратить Ваше внимание, что возможно это не единственный файл, с помощью которого выполнялась рассылка.

Что сделано было 1й раз: отключил личные сообщения, защита от спама от CleanTalk,удалил все аккаунты незнакомые.

Yarik · 09 сентября 2018, 13:26:21

Мне кажется шлют используя уведомления
Центр администрирования » Свойства и параметры » Общие настройки Не отправлять текст сообщения в уведомлениях поставьте.И пронаблюдайте.

chessburg · 09 сентября 2018, 13:28:56

Цитата: S.T.A.L.K.E.R. от 09 сентября 2018, 13:26:21Мне кажется шлют используя уведомления
Центр администрирования » Свойства и параметры » Общие настройки Не отправлять текст сообщения в уведомлениях поставьте.И пронаблюдайте.

Галочка уже стоит, не помогло.

Yarik · 09 сентября 2018, 13:40:29

Цитата: chessburg от 09 сентября 2018, 13:28:56Галочка уже стоит, не помогло.

Ну запросите у хостера тогда более развернутый ответ.Надо же разобраться как и через что они шлют

chessburg · 09 сентября 2018, 15:10:27

Цитата: S.T.A.L.K.E.R. от 09 сентября 2018, 13:40:29Ну запросите у хостера тогда более развернутый ответ.Надо же разобраться как и через что они шлют

Обращаем Ваше внимание, что, к сожалению, мы не оказываем услуг по анализу и модификации пользовательского кода.
Если у Вас нет возможности самостоятельно определить уязвимость, через которую был добавлен вредоносный код, Вам необходимо обратиться к стороннему специалисту по безопасности. Квалифицированный специалист должен предоставить подробный отчет о проделанной работе, указать, через какую уязвимость был внедрен вредоносный код и какие действия были предприняты для ее ликвидации.

kak2z · 09 сентября 2018, 15:26:34

Пусть покажут что они приняли за спам.. Текст письма..

chessburg · 09 сентября 2018, 15:59:20

Цитата: kak2z от 09 сентября 2018, 15:26:34Пусть покажут что они приняли за спам.. Текст письма..

Уважаемый клиент!

От имени Вашего пользователя была зафиксирована рассылка спама, в связи с чем мы были вынуждены заблокировать возможность отправки писем с сервера.

Файл с логом рассылки за текущий день: owncloud.timeweb.net/index.php/s/CYC9bD2cA1f5NkT

Из лога можно определить, с помощью какого скрипта была инициирована рассылка - имя файла указывается в строке "X-PHP-Originating-Script".
Файл с логом запросов к сайтам за текущий день: owncloud.timeweb.net/index.php/s/XhDiTpyorSb9Mfb

Согласно правилам предоставления услуг, любой вид спама запрещен, поэтому для предупреждения ситуации в будущем мы рекомендуем выполнить следующие действия:

Если рассылка была осуществлена без Вашего ведома, необходимо произвести аудит безопасности, направленный на исключение наличия вредоносного кода в файлах Ваших сайтов.
Если рассылка была осуществлена намеренно, то при желании в дальнейшем использовать почтовые функции рекомендуем ознакомиться с правилами предоставления услуг timeweb.com/ru/services/hosting/rules/. Повторное нарушение правил повлечет за собой окончательную блокировку работы почтовых функций.

Мы будем рады предоставить обратную связь по данной проблеме в рамках текущего обращения.

Yarik · 09 сентября 2018, 17:23:34

Посмотрите Subs-Post.php,может туда внедрили что то...
Вообще хостер замечательный,дали бы хотя бы текст письма.Чтобы можно было понять как и через что они это делают.
Обязаны дать.

digger® · 09 сентября 2018, 18:48:49

А почему форум не обновляете? У вас версия шестилетней давности, в которой куча дыр.
Проверьте права доступа у обычных пользователей, если разрешено "Отправка ссылок на темы друзьям и знакомым", то любой пользователь может спамить через форум.

chessburg · 09 сентября 2018, 21:33:20

Цитата: digger® от 09 сентября 2018, 18:48:49А почему форум не обновляете? У вас версия шестилетней давности, в которой куча дыр.
Проверьте права доступа у обычных пользователей, если разрешено "Отправка ссылок на темы друзьям и знакомым", то любой пользователь может спамить через форум.

Потому что форум мертвый, ни времени, ни желания нет им заниматься. "Отправка ссылок на темы друзьям и знакомым" - убрал галочку. Отпишу хостингу ,чтобы разблокировали, посмотрим.

digger® · 09 сентября 2018, 22:04:38

Цитата: chessburg от 09 сентября 2018, 21:33:20Потому что форум мертвый, ни времени, ни желания нет им заниматься.

Обновление делается через админку несколькими кликами. А такой форум в итоге взломают и засрут и его и все вокруг.

chessburg · 10 сентября 2018, 20:11:58

Цитата: digger® от 09 сентября 2018, 22:04:38Обновление делается через админку несколькими кликами. А такой форум в итоге взломают и засрут и его и все вокруг.

Опять спам, не помогло,форум обновил до 2.0.6 вчера , дальше ошибки не дали.

От имени Вашего пользователя была зафиксирована рассылка спама, в связи с чем мы были вынуждены заблокировать возможность отправки писем с сервера.

Файл с логом рассылки за текущий день: owncloud.timeweb.net/index.php/s/7b4gkavbMZc7Agt

Из лога можно определить, с помощью какого скрипта была инициирована рассылка - имя файла указывается в строке "X-PHP-Originating-Script".
Файл с логом запросов к сайтам за текущий день: owncloud.timeweb.net/index.php/s/Jp8Sly9WPeTAndY

digger® · 10 сентября 2018, 23:38:24

Если это спам, то где образец письма?
По моему, просто прикопались к обычным уведомлениям, которые форум шлёт подписчикам на темы.

Могу вам обновить до актуальной версии, напишите в личку.

Yarik · 11 сентября 2018, 06:14:56

Было такое,майл по моему прикопался,и судя по всему робот.
Запросил у реального человека образец письма,вместе посмеялись,извинились и разблокировали.
Запрашивайте реальный образец письма спама.Нет,пускай идут лесом.

Pа что отвечают файлы Subs-Post.php?

Yarik

Yarik

Yarik

Yarik