Ломанули сайт, рассылают спам

Тема в разделе "Администрирование серверов", создана пользователем krasniy, 7 ноя 2012.

Модераторы: mefish, stooper
  1. krasniy

    krasniy

    Регистр.:
    21 апр 2006
    Сообщения:
    712
    Симпатии:
    112
    Взломали сайт из в корень сайта там где логи, темп положили папку mailer с 4 файлами (список адресов, текст письма и скрипт рассылки на pl, все рассылалось через EXIM. Как возможна раасылка через exim ? Откуда могли взломать? Как найти ?
     
  2. vladis1333

    vladis1333

    Регистр.:
    18 июл 2010
    Сообщения:
    588
    Симпатии:
    226
    Проверить сайт, сервер на уязвимости. Как минимум посмотреть логи (если не стерты, конечно).
    Могу посодействовать в проверке.
     
  3. Владик

    Владик

    Регистр.:
    17 фев 2007
    Сообщения:
    163
    Симпатии:
    284
  4. krasniy

    krasniy

    Регистр.:
    21 апр 2006
    Сообщения:
    712
    Симпатии:
    112
    логов за эти даты нет, а как проверить на уязвимость? стоит вроде новое ПО, open_basedir, проверял rkhunter
     
  5. vladis1333

    vladis1333

    Регистр.:
    18 июл 2010
    Сообщения:
    588
    Симпатии:
    226
    rkhunter уже шеллы ищет- как я понимаю, а не источник проникновения. Либо пентестом или глубже исходники смотреть, тестить.
     
  6. krasniy

    krasniy

    Регистр.:
    21 апр 2006
    Сообщения:
    712
    Симпатии:
    112
     
  7. smalllamer

    smalllamer Организм

    Регистр.:
    20 сен 2009
    Сообщения:
    318
    Симпатии:
    126
  8. efs

    efs SEO оптимизатор дискрипторов одностраничных сайтов

    Moderator
    Регистр.:
    20 ноя 2009
    Сообщения:
    825
    Симпатии:
    475
    банальные же вещи, скомпрометированный сервер идет под снос, потому что вы больше времени потратите на поиски закладки (если она вообще есть), чем разворачивание сервера из бекапа (вы же делаете бекапы?).
    нет бекапа? сливаете сайты, проверяете на излишки и сервер под снос.
     
  9. smalllamer

    smalllamer Организм

    Регистр.:
    20 сен 2009
    Сообщения:
    318
    Симпатии:
    126
    Я бы не стал сносить сразу сервак. Это всегда успеется. Может его массово загребли. Закроет дыру да и все.
    Пускай покопается человек, интересно же :alko:
     
  10. krasniy

    krasniy

    Регистр.:
    21 апр 2006
    Сообщения:
    712
    Симпатии:
    112
    Я тоже считаю что сносить в таком случае не стоит. Все таки взломали один акк на сервере, скорее всего через уязвимость в скрипте Viart или OpenCart.
    Если интересно вот файлы которые лежали в корне и рассылали спам http://rghost.ru/41424027

    А за пентест спасибо, много нового для себя открыл)) жаль логов не осталось за этот период