Рассылка спама через форум

Автор valday666, 21 апреля 2011, 09:32:09

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

valday666

Пользователи стали жаловаться на спам с мыла форума. В настройках почтового сервера (postfix) релей отключен и письма можно отправлять только с локалхоста.
Заголовок письма-спама
Received: from mxfront37.mail.yandex.net ([127.0.0.1])
by mxfront37.mail.yandex.net with LMTP id WLW0Ov7t
for <мыло юзера>; Wed, 20 Apr 2011 20:32:21 +0400
Received: from мой хост (мой хост [мой IP])
by mxfront37.mail.yandex.net (nwsmtp/Yande with ESMTP id WLPK5CWg;
Wed, 20 Apr 2011 20:32:21 +0400
X-Yandex-Front: mxfront37.mail.yandex.net
X-Yandex-TimeMark: 1303317141
X-Yandex-Spam: 1
Received: by ns1.localdomain (Postfix, from userid 30)
id B78ADC3A3D1; Wed, 20 Apr 2011 20:30:41 +0400 (MSD)
To: мыло юзера
Subject: zwJFeAbUaWZ
X-PHP-Originating-Script: 1000:ScheduledTasks.php
From: "skipatrol@shawneemt.com" <мейл форума>
Reply-To: <skipatrol@shawneemt.com>
Date: Wed, 20 Apr 2011 16:29:32 -0000
X-Mailer: SMF
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="SMF-b5a0e14b4e1bd70b0c402d46cd7318f0"
Content-Transfer-Encoding: 7bit
Message-Id: <20110420163041.B78ADC3A3D1@ns1.localdomain>
X-Yandex-Forward: 2dec8d8832b01423893ac1bcc670500f


WgM4R9 AFAICT you've corveed all the bases with this answer!
--SMF-b5a0e14b4e1bd70b0c402d46cd7318f0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit

WgM4R9 AFAICT you've corveed all the bases with this answer!
--SMF-b5a0e14b4e1bd70b0c402d46cd7318f0--


Установлена версия SMF 2.0 RC4 с патчем безопасности. Че делать?
Использую моды: Custom Board Icons, Users Online Today, Aeva Media, Auto Email Inactive Users, Thank-O-Matic, Karma Description Mod, Global Headers Footers, Sitemap, Add Favicon.ico Support, Watermark.light, Watermark.light for AEVA

Gnostis

Пробежался глазами, вроде шлет ScheduledTasks.php, т.е. планировщик, смотрите туда.

valday666

Цитата: Gnostis от 21 апреля 2011, 15:06:32
Пробежался глазами, вроде шлет ScheduledTasks.php, т.е. планировщик, смотрите туда.
Там все ОК. Код скрипта не тронут. Если только воспользовались им как-то... Пока погасил posfix
Использую моды: Custom Board Icons, Users Online Today, Aeva Media, Auto Email Inactive Users, Thank-O-Matic, Karma Description Mod, Global Headers Footers, Sitemap, Add Favicon.ico Support, Watermark.light, Watermark.light for AEVA

Gnostis

Received: by ns1.localdomain (Postfix, from userid 30)
Кто такой 30-й?

Yworld_garry

Посмотрите в сторону левых файлов, возможно залита хрень, такое сейчас не редкость.

valday666

Цитата: Yworld_garry от 21 апреля 2011, 15:12:37
Посмотрите в сторону левых файлов, возможно залита хрень, такое сейчас не редкость.
Проверил, ничего такого нет...
ЦитироватьReceived: by ns1.localdomain (Postfix, from userid 30)
Кто такой 30-й?
Этот юзер уже больше года форум не посещает. И последняя активность стоит 18 апреля 2010... Сейчас попробую узнать остальные id, с которых рассылался спам, если письма не удалили
Использую моды: Custom Board Icons, Users Online Today, Aeva Media, Auto Email Inactive Users, Thank-O-Matic, Karma Description Mod, Global Headers Footers, Sitemap, Add Favicon.ico Support, Watermark.light, Watermark.light for AEVA

valday666

Больше нет ни у кого предположений? Чего с форумом то делать... Postfix то до сих пор отключен
Использую моды: Custom Board Icons, Users Online Today, Aeva Media, Auto Email Inactive Users, Thank-O-Matic, Karma Description Mod, Global Headers Footers, Sitemap, Add Favicon.ico Support, Watermark.light, Watermark.light for AEVA

Mavn

отправление тем для гостей опцию выключи иногда через нее спамят
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

thc2000

Коллеги помогите. Форум рассылает спам. Вот примерно так:

[24-Jan-2018 15:12:31 Europe/Moscow] mail() on [/forum/Sources/Subs-Post.php:760]: To: egkyd@jukilopes.xyz -- Headers: From: "" <web@*.ru> Return-Path: web@*.ru Date: Wed, 24 Jan 2018 12:12:31 -0000 X-Mailer: SMF Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="SMF-a7d461b1677681d372069c76ec88aded" Content-Transfer-Encoding: 7bit
Как отключить рассылку писем?

GeorG

Возможно вас взломали.

Цитата: thc2000 от 24 января 2018, 16:07:29Как отключить рассылку писем?
Если вообще, то хостера спросите, или через права запретите в админке (если пользователи шлют, найдите его по почте и заблокируйте).
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

thc2000

Да, взломали. Черт меня дернул SMF поставить на форум... Шлю я, т.е. админ, т.е. тот майл, которой указан как email админа

GeorG

#11
Цитата: thc2000 от 26 января 2018, 10:45:22Черт меня дернул SMF поставить на форум...
Причём тут SMF как форум, вас через другое взломали (особенно если есть какие нибудь сайты на аккаунте, то скорее всего через них, или троян подхватили на комп).
1. Проверяйте свой комп (и все устройства с которого имели доступ к админке и файлам на сервере) на вирусы и трояны (обязательно проверяйте, даже если 100% уверены что всё чистое), перед проверкой нужно обязательно обновить антивирус до последней версии.
2. Меняйте везде пароли.
3. Ищите сам вирус и шел, удаляйте, приводите в порядок файлы (изменённые).

После когда всё очистите, ещё раз меняйте пароли (т.к., могли опять уйти, пока ещё вирус не удалили).
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

digger®

Цитата: GeorG от 26 января 2018, 12:48:273. Ищите сам вирус и шел, удаляйте, приводите в порядок файлы (изменённые).
Как-то маловероятно, что шелл будет спамить через стандартные функции SMF. Тут или разрешена гостям отправка ссылок на темы или вообще никакого спама нет, а шлются обычные уведомления форума.

GeorG

Цитата: digger® от 26 января 2018, 15:01:16Как-то маловероятно, что шелл будет спамить через стандартные функции SMF
Через шелл не спамят, посредством него можно модифицировать другие файлы, в том числе и файлы движка (и только уже тогда, они будут слать спам). Это если конечно был взлом.
Если на сайте вирус, то 99% что шел уже залили, если найден уже модифицированный файл, то надо искать и сам шел, иначе через него уже в любое время зайдут на сайт (после его чистки) и снова вставят свой код в ваш (и процедуру чистки придётся повторят снова, и так до тех пор, пока не будет удалён шелл).
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru