Помощь Попытка сменить email админа.

[merzkiy]

С недаввних пор на почту стали прихобить письма такого содержания:

Спойлер

Недоставленное сообщение 
29 янв. в 09:56
mailer-daemon@yandex.ru
Кому
admin@******ru
ПеревестиСоздать правилоСвойства письма
кратко
Запрос на изменение E-mail адреса1,3 КБПосмотретьСкачать
              **********
 
Это письмо отправлено почтовым сервером yandex.ru.
 
К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может
быть отправлено одному или нескольким адресатам. Причины указаны ниже.
 
Пожалуйста, не отвечайте на это сообщение.
 
              **********
 
This is the mail system at host yandex.ru.
 
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
 
Please, do not reply to this message.
 
 
<g.3.g.r82o6b.c.a3fp66j@gmail.com>: host
    gmail-smtp-in.l.google.com[2a00:1450:4010:c04::1a] said: 550 5.2.1 The
    email account that you tried to reach is disabled. ga2si5267677lbb.57 -
    gsmtp (in reply to RCPT TO command)
 
Статус доставки:
 
Reporting-MTA: dns; forward1.mail.yandex.net
X-Yandex-Queue-ID: B68D5124209F
X-Yandex-Sender: rfc822; admin@*******ru
Arrival-Date: Tue, 29 Jan 2013 09:56:30 +0400 (MSK)
 
Final-Recipient: rfc822; g.3.g.r82o6b.c.a3fp66j@gmail.com
Original-Recipient: rfc822;g.3.g.r82o6b.c.a3fp66j@gmail.com
Action: failed
Status: 5.2.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550 5.2.1 The email account that you tried to reach is
    disabled. ga2si5267677lbb.57 - gsmtp

[/spoil]
Содоржания не доставленного письма:

[spoil]

От кого
admin@*****ru
Кому
g.3.g.r82o6b.c.a3fp66j@gmail.com
Когда
29 янв. в 09:56
Уважаемый посетитель! Ваш запрос на изменение E-mail адреса на: g.3.g.r82o6b.c.a3fp66j@gmail.com принят.
 
Для смены адреса E-mail на сайте, вам необходимо пройти по ссылке: http://*****ru/index.php?do=changemail&id=a66b27c512d08b341b9052a66b19dc62e778d7896b5ec
 
С уважением,
Администрация сайта http://******ru/

[/spoil]

Почтовый сервер использую от яндекса. SSH, FTP отключены.
Обновил движок до 9.7 поставил заплатки, всё равно не помогает.
Как закрыть эту дырку?
Вот логи:

[spoil]

110.86.188.209 - - [29/Jan/2013:09:55:23 +0400] "POST /index.php?do=register HTTP/1.0" 200 54350
222.77.199.181 - - [29/Jan/2013:09:55:26 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3076
110.86.188.209 - - [29/Jan/2013:09:55:32 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3075
110.86.188.209 - - [29/Jan/2013:09:55:34 +0400] "POST /index.php?do=register HTTP/1.0" 200 54713
110.86.188.209 - - [29/Jan/2013:09:55:40 +0400] "GET /index.php HTTP/1.0" 200 66989
110.86.188.209 - - [29/Jan/2013:09:55:49 +0400] "POST /index.php HTTP/1.0" 200 67389
222.77.199.181 - - [29/Jan/2013:09:55:52 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
222.77.199.181 - - [29/Jan/2013:09:56:00 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3086
222.77.199.181 - - [29/Jan/2013:09:56:07 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
222.77.199.181 - - [29/Jan/2013:09:56:10 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 2824
222.77.199.181 - - [29/Jan/2013:09:56:12 +0400] "POST /index.php?do=register HTTP/1.0" 200 54814
91.236.74.121 - - [29/Jan/2013:09:56:17 +0400] "GET /index.php HTTP/1.0" 200 66911
110.86.188.209 - - [29/Jan/2013:09:56:22 +0400] "GET /index.php?do=register&doaction=validating&id=Qm9ubmFEb21tZXR8fGhueW9uZzFAbWFpbGFiY29ubGluZS5jb218fDZlYzNlZTlkNjdkYWIzMDAwOWVkNTMxOGUxMzMxMjM4fHxlZTFlZmE1ODRjM2ZhYmZlNTUxMWRlOWJjZWUyMTczMQ%3D%3D+%5B+Activation+%5D+Result:+error:+%22%CE%F8%E8%E1%EA%E0+%E0%E2%F2%EE%F0%E8%E7%E0%F6%E8?-+%C2%ED%E8%EC%E0%ED%E8%E5,+%E2%F5%EE%E4+%ED%E0+%F1%E0%E9%F2+%ED%E5+%E1%FB?%EF%F0%EE%E8%E7%E2%E5%E4%E5%ED.+%C2%EE%E7%EC%EE%E6%ED%EE,+%C2%FB+%E2%E2%E5%EB?%ED%E5%E2%E5%F0%ED%EE%E5+%E8%EC%FF+%EF%EE%EB%FC%E7%EE%E2%E0%F2%E5?+%E8%EB?%EF%E0%F0%EE%EB%FC.%22;+chosen+nickname+%22SlillotaPot%22;+registered+%28registering+only+mode+is+ON%29;+this+username+has+already+been+taken; HTTP/1.0" 200 16
91.236.74.121 - - [29/Jan/2013:09:56:24 +0400] "POST /index.php HTTP/1.0" 200 67413
110.86.188.209 - - [29/Jan/2013:09:56:25 +0400] "GET /index.php HTTP/1.0" 200 67570
91.236.74.121 - - [29/Jan/2013:09:56:34 +0400] "GET /user/oowrcmbw/ HTTP/1.0" 200 57495
222.77.199.181 - - [29/Jan/2013:09:56:42 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3047
91.236.74.121 - - [29/Jan/2013:09:56:44 +0400] "POST /user/oowrcmbw/ HTTP/1.0" 200 58260
222.77.199.181 - - [29/Jan/2013:09:56:49 +0400] "POST /index.php?do=register HTTP/1.0" 200 55397
222.77.199.181 - - [29/Jan/2013:09:56:52 +0400] "GET /engine/modules/antibot.php HTTP/1.0" 200 3171
91.236.74.121 - - [29/Jan/2013:09:56:53 +0400] "GET /index.php HTTP/1.0" 200 67413

 

[sobakatochkaru]

если есть ip адрес можно заблокировать, а так же добавить в бан ip - шники прокси серверов как вариант, а саму дыру как закрыть хз, то же такого плана приходили письма, но потом перестали.

 

[merzkiy]

ну закрыть IP это не выход, для злоумышленника сменить его не проблема. Да же капчу как-то обходят..... она включена но, из шаблона убрана...

 

[sobakatochkaru]

ну закрыть IP это не выход, для злоумышленника сменить его не проблема. Да же капчу как-то обходят..... она включена но, из шаблона убрана...

если вы подозреваете что это работа программы, а не пробовали подключить систему вопрос ответ и посмотрите всё таки ip - если одинаковые то баньте смело, можно посмотреть локацию - забугорные и одна подсеть, если не заинтересованы в трафике из-за бугра - в чёрный список всё подсеть и лучше ещё ip - шники популярных прокси серверов.

 

[merzkiy]

к сожалению, вопрос ответ не предусмотрен при смене e-mail, только капча. А она включена и не выводится, так как убрана в шаблоне. То есть смена невозможна без ввода капчи, но злоумышленник как-то обходит её. Как я понимаю, остаётся только бан по IP, хотя я так и делаю, в бан подсети отправляю.