Спам на vps

Тема в разделе "Администрирование серверов", создана пользователем Raccoon, 3 мар 2012.

Модераторы: mefish, stooper
  1. Raccoon

    Raccoon

    Регистр.:
    31 июл 2007
    Сообщения:
    177
    Симпатии:
    9
    На сервере поселилась какая-то зараза, шлет с одного ящика письма китайцам (спамит), в следствие чего генерится по 1000-2000 ошибок в день. Пробовал менять пароль на почту, с которой валит спам, но не помогло. Пока выключил smtp вообще. Подскажите как бороться? ОС Дебиан.
     
  2. Alexandr3

    Alexandr3

    Заблокирован
    Регистр.:
    22 апр 2008
    Сообщения:
    429
    Симпатии:
    96
    Искать уязвимые скрипты по дате изменения, шелы антивирем и можно так

    find /var/www/ \( -regex '.*\.php$' -o -regex '.*\.cgi$' \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|by oRb|phpremoteview|directmail|bash_history|brute *force"

    смотреть логи почты.
     
  3. Raccoon

    Raccoon

    Регистр.:
    31 июл 2007
    Сообщения:
    177
    Симпатии:
    9
    Логи почты смотрел, но там пишется с какого ip и email идет отправка, но url скрипта не пишет.
    Думаете именно из www папки идет генерация спама? Каким антивирем лучше просканить?
     
  4. Alexandr3

    Alexandr3

    Заблокирован
    Регистр.:
    22 апр 2008
    Сообщения:
    429
    Симпатии:
    96
    Лучше всех каспер находит или дрвеб., остальные сами вири :crazy:
     
  5. mefish

    mefish Support

    Moderator
    • Супермодератор
    Регистр.:
    30 авг 2007
    Сообщения:
    892
    Симпатии:
    633
    Лучше всех помогает правильная настройка ! С чего вы решили что спамит ваш сервер и именно китайцам ??? КОгда во всем мире наоборот ))) - с китайский серверов/ip спамят целевые сервера европы и юсы ? покажите логи что у вас там не так, а мы посмотрим и подскажем.
     
  6. Raccoon

    Raccoon

    Регистр.:
    31 июл 2007
    Сообщения:
    177
    Симпатии:
    9
    В общем, уже 2 админа смотрели сервак, и оба опускают руки.
    Заблокирован установщик, антивирус не ставится.
    Какие есть варианты решения?
     
  7. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.564
    Симпатии:
    1.454
    Есть интересная уязвимость smtp сервера, некоторые smtp возвращают письмо в неизменном виде отправителю, при неправильно заданном адресе получателя.
    Использование: через уязвимый smtp посылают письмо на заведомо несуществующий адрес, а в качестве адреса отправителя указывают, кого надо проспамить.
    Лекарство:закрыть доступ к smtp серверу из интернета, для неавторизированных пользователей.

    Насколько мне помнится, на этом методе строятся и другие схемы, которые обходят приведённое выше лекарство.

    Интересность метода в том, что вируса на вашем ВПС нет, есть неверная настройка почтового сервера, которой успешно воспользовались спамеры. Проверьте по этому вектору безопасность.
     
    o_nix нравится это.
  8. barabula

    barabula

    Регистр.:
    21 май 2009
    Сообщения:
    470
    Симпатии:
    77
    У меня тоже такая проблема была, сначала рубил количество сообщений в день, но фильтр не особо помогал,в итоге отключил dovecot и exim, теперь все тихо, но это помогает в том случае, если вы почтой не пользуетесь.
     
  9. Raccoon

    Raccoon

    Регистр.:
    31 июл 2007
    Сообщения:
    177
    Симпатии:
    9
    а как можно дать доступ к отправке писем через sendmail только для моего IP и localhost?

    Подскажите пожалуйста
     
  10. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.564
    Симпатии:
    1.454
    гугли что-то типа "sendmail ограничение доступа" вот например хороший линк: Перейти по ссылке

    Для большой безопасности я бы закрыл возможноть конекта из вне фаерволом, например через Перейти по ссылке