Помощь Попытка сменить email админа.

Тема в разделе "DLE", создана пользователем merzkiy, 29 янв 2013.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. merzkiy

    merzkiy Постоялец

    Регистр.:
    21 май 2007
    Сообщения:
    70
    Симпатии:
    34
    С недаввних пор на почту стали прихобить письма такого содержания:

    Код:
    Недоставленное сообщение 
    29 янв. в 09:56
    mailer-daemon@yandex.ru
    Кому
    admin@******ru
    ПеревестиСоздать правилоСвойства письма
    кратко
    Запрос на изменение E-mail адреса1,3 КБПосмотретьСкачать
                  **********
     
    Это письмо отправлено почтовым сервером yandex.ru.
     
    К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может
    быть отправлено одному или нескольким адресатам. Причины указаны ниже.
     
    Пожалуйста, не отвечайте на это сообщение.
     
                  **********
     
    This is the mail system at host yandex.ru.
     
    I'm sorry to have to inform you that your message could not
    be delivered to one or more recipients. It's attached below.
     
    Please, do not reply to this message.
     
     
    <g.3.g.r82o6b.c.a3fp66j@gmail.com>: host
        gmail-smtp-in.l.google.com[2a00:1450:4010:c04::1a] said: 550 5.2.1 The
        email account that you tried to reach is disabled. ga2si5267677lbb.57 -
        gsmtp (in reply to RCPT TO command)
     
    Статус доставки:
     
    Reporting-MTA: dns; forward1.mail.yandex.net
    X-Yandex-Queue-ID: B68D5124209F
    X-Yandex-Sender: rfc822; admin@*******ru
    Arrival-Date: Tue, 29 Jan 2013 09:56:30 +0400 (MSK)
     
    Final-Recipient: rfc822; g.3.g.r82o6b.c.a3fp66j@gmail.com
    Original-Recipient: rfc822;g.3.g.r82o6b.c.a3fp66j@gmail.com
    Action: failed
    Status: 5.2.1
    Remote-MTA: dns; gmail-smtp-in.l.google.com
    Diagnostic-Code: smtp; 550 5.2.1 The email account that you tried to reach is
        disabled. ga2si5267677lbb.57 - gsmtp

    Содоржания не доставленного письма:

    Код:
    От кого
    admin@*****ru
    Кому
    g.3.g.r82o6b.c.a3fp66j@gmail.com
    Когда
    29 янв. в 09:56
    Уважаемый посетитель! Ваш запрос на изменение E-mail адреса на: g.3.g.r82o6b.c.a3fp66j@gmail.com принят.
     
    Для смены адреса E-mail на сайте, вам необходимо пройти по ссылке: http://*****ru/index.php?do=changemail&id=a66b27c512d08b341b9052a66b19dc62e778d7896b5ec
     
    С уважением,
    Администрация сайта http://******ru/
    


    Почтовый сервер использую от яндекса. SSH, FTP отключены.
    Обновил движок до 9.7 поставил заплатки, всё равно не помогает.
    Как закрыть эту дырку?
    Вот логи:

    Код:
    110.86.188.209 - - [29/Jan/2013:09:55:23 +0400] "POST /index.php?do=register HTTP/1.0" 200 54350
    222.77.199.181 - - [29/Jan/2013:09:55:26 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3076
    110.86.188.209 - - [29/Jan/2013:09:55:32 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3075
    110.86.188.209 - - [29/Jan/2013:09:55:34 +0400] "POST /index.php?do=register HTTP/1.0" 200 54713
    110.86.188.209 - - [29/Jan/2013:09:55:40 +0400] "GET /index.php HTTP/1.0" 200 66989
    110.86.188.209 - - [29/Jan/2013:09:55:49 +0400] "POST /index.php HTTP/1.0" 200 67389
    222.77.199.181 - - [29/Jan/2013:09:55:52 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
    222.77.199.181 - - [29/Jan/2013:09:56:00 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3086
    222.77.199.181 - - [29/Jan/2013:09:56:07 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
    222.77.199.181 - - [29/Jan/2013:09:56:10 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 2824
    222.77.199.181 - - [29/Jan/2013:09:56:12 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
    91.236.74.121 - - [29/Jan/2013:09:56:17 +0400] "GET /index.php HTTP/1.0" 200 66911
    110.86.188.209 - - [29/Jan/2013:09:56:22 +0400] "GET /index.php?do=register&doaction=validating&id=Qm9ubmFEb21tZXR8fGhueW9uZzFAbWFpbGFiY29ubGluZS5jb218fDZlYzNlZTlkNjdkYWIzMDAwOWVkNTMxOGUxMzMxMjM4fHxlZTFlZmE1ODRjM2ZhYmZlNTUxMWRlOWJjZWUyMTczMQ%3D%3D+%5B+Activation+%5D+Result:+error:+%22%CE%F8%E8%E1%EA%E0+%E0%E2%F2%EE%F0%E8%E7%E0%F6%E8?-+%C2%ED%E8%EC%E0%ED%E8%E5,+%E2%F5%EE%E4+%ED%E0+%F1%E0%E9%F2+%ED%E5+%E1%FB?%EF%F0%EE%E8%E7%E2%E5%E4%E5%ED.+%C2%EE%E7%EC%EE%E6%ED%EE,+%C2%FB+%E2%E2%E5%EB?%ED%E5%E2%E5%F0%ED%EE%E5+%E8%EC%FF+%EF%EE%EB%FC%E7%EE%E2%E0%F2%E5?+%E8%EB?%EF%E0%F0%EE%EB%FC.%22;+chosen+nickname+%22SlillotaPot%22;+registered+%28registering+only+mode+is+ON%29;+this+username+has+already+been+taken; HTTP/1.0" 200 16
    91.236.74.121 - - [29/Jan/2013:09:56:24 +0400] "POST /index.php HTTP/1.0" 200 67413
    110.86.188.209 - - [29/Jan/2013:09:56:25 +0400] "GET /index.php HTTP/1.0" 200 67570
    91.236.74.121 - - [29/Jan/2013:09:56:34 +0400] "GET /user/oowrcmbw/ HTTP/1.0" 200 57495
    222.77.199.181 - - [29/Jan/2013:09:56:42 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3047
    91.236.74.121 - - [29/Jan/2013:09:56:44 +0400] "POST /user/oowrcmbw/ HTTP/1.0" 200 58260
    222.77.199.181 - - [29/Jan/2013:09:56:49 +0400] "POST /index.php?do=register HTTP/1.0" 200 55397
    222.77.199.181 - - [29/Jan/2013:09:56:52 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3171
    91.236.74.121 - - [29/Jan/2013:09:56:53 +0400] "GET /index.php HTTP/1.0" 200 67413
     
  2. sobakatochkaru

    sobakatochkaru Создатель

    Регистр.:
    11 янв 2013
    Сообщения:
    33
    Симпатии:
    15
    если есть ip адрес можно заблокировать, а так же добавить в бан ip - шники прокси серверов как вариант, а саму дыру как закрыть хз, то же такого плана приходили письма, но потом перестали.
     
  3. merzkiy

    merzkiy Постоялец

    Регистр.:
    21 май 2007
    Сообщения:
    70
    Симпатии:
    34
    ну закрыть IP это не выход, для злоумышленника сменить его не проблема. Да же капчу как-то обходят..... она включена но, из шаблона убрана...
     
  4. sobakatochkaru

    sobakatochkaru Создатель

    Регистр.:
    11 янв 2013
    Сообщения:
    33
    Симпатии:
    15
    если вы подозреваете что это работа программы, а не пробовали подключить систему вопрос ответ и посмотрите всё таки ip - если одинаковые то баньте смело, можно посмотреть локацию - забугорные и одна подсеть, если не заинтересованы в трафике из-за бугра - в чёрный список всё подсеть и лучше ещё ip - шники популярных прокси серверов.
     
  5. merzkiy

    merzkiy Постоялец

    Регистр.:
    21 май 2007
    Сообщения:
    70
    Симпатии:
    34
    к сожалению, вопрос ответ не предусмотрен при смене e-mail, только капча. А она включена и не выводится, так как убрана в шаблоне. То есть смена невозможна без ввода капчи, но злоумышленник как-то обходит её. Как я понимаю, остаётся только бан по IP, хотя я так и делаю, в бан подсети отправляю.