1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Помощь Волноваться или нет?

Тема в разделе "Joomla", создана пользователем typus, 20 ноя 2015.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Модераторы: arman29, DMS, Genk0
  1. typus

    typus

    Регистр.:
    25 июл 2007
    Сообщения:
    640
    Симпатии:
    154
    Приветствую, есть сайт, на вот этом шаблоне был сделан в прошлом году, работает как каталог, рега юзеров прикрыта. Работает acy mailing - рассылки идут регулярно,но не часто и не превышают пару-тройку сотен мыл за отправку. Т.е. рассылки идут практически только тем, кто подписался на них добровольно. То есть кто подписался, автоматом становится юзером в acy mailing, но не добавляется как юзер joomla.
    Так вот, в последние 2 дня в юзеры acy mailing стали добавляться автоматом спамеры, не то чтобы очень много, но настойчиво. У всех один и тот же IP - пока абсолютно одинаковый, и очень похожие фейковые мыла на gmail -
    kibec0.0.00.0.0000.2@gmail.com
    pois.kist.in.i.c.o.m@gmail.com
    tal.e.sd.u.ckc.o.m@gmail.com

    Со вчерашнего же дня на почту в домене стали приходить письма - отлуп о неудачной отправке.

    Код:
    Reporting-MTA: dns; dd33102.kasserver.com
    X-Postfix-Queue-ID: 7A55A35032356
    X-Postfix-Sender: rfc822; info@my-email.com
    Arrival-Date: Fri, 20 Nov 2015 05:02:08 +0100 (CET)
    
    Final-Recipient: rfc822; kibec0.0.00.0.0000.2@gmail.com
    Action: delayed
    Status: 4.2.1
    Remote-MTA: dns; alt1.gmail-smtp-in.l.google.com
    Diagnostic-Code: smtp; 450-4.2.1 The user you are trying to contact is
        receiving mail at a rate that 450-4.2.1 prevents additional messages from
        being delivered. Please resend your 450-4.2.1 message at a later time. If
        the user is able to receive mail at that 450-4.2.1 time, your message will
        be delivered. For more information, please 450-4.2.1 visit 450 4.2.1
        https://support.google.com/mail/answer/6592 n195si8228611lfn.81 - gsmtp
    Will-Retry-Until: Wed, 25 Nov 2015 05:02:08 +0100 (CET)
    
    
    
    This is the mail system at host dd33102.kasserver.com
    
    
    
    ####################################################################
    # THIS IS A WARNING ONLY.  YOU DO NOT NEED TO RESEND YOUR MESSAGE. #
    ####################################################################
    
    Your message could not be delivered for more than 4 hour(s).
    It will be retried until it is 5 day(s) old.
    
    For further assistance, please send mail to postmaster.
    
    If you do so, please include this problem report. You can
    delete your own text from the attached returned message.
    
                       The mail system
    
    <allpol.i.t.ol.ogi.j.a@gmail.com>: host
        alt1.gmail-smtp-in.l.google.com[74.125.205.26] said: 450-4.2.1 The user you
        are trying to contact is receiving mail at a rate that 450-4.2.1 prevents
        additional messages from being delivered. Please resend your 450-4.2.1
        message at a later time. If the user is able to receive mail at that
        450-4.2.1 time, your message will be delivered. For more information,
        please 450-4.2.1 visit 450 4.2.1
        https://support.google.com/mail/answer/6592 t76si3738840lfd.37
        - gsmtp (in
        reply to RCPT TO command)
    
    Глядя на репорт видно, что пытается пройти отправка с моего доменного адреса на адреса спамеров. Было бы все понятно, если бы я им отправлял в числе прочих рассылку, но я им точно ничего не отправлял.

    Думаю щас, если joomla хакнули, нафига они сами себе то пытаются отправлять? Или все таки идет поток и они свои фейк мыла просто в общей базе оставили? Но тогда я думаю хостер сразу бы прикрыл эту лавочку.

    Логи я запросил, на внедренный код и измененные файлы joomla проверю в самое ближайшее время, пароли сменю.
    Интересует ваше мнение, что еще надо сделать, как проще всего блокануть по ip, ну в общем, все что может быть полезно в данной ситуации.
     
  2. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    300
    Симпатии:
    588
    Читай про iptables.
     
  3. typus

    typus

    Регистр.:
    25 июл 2007
    Сообщения:
    640
    Симпатии:
    154
    Шаред хостинг, не root ни вообще ssh..
     
  4. ddn128

    ddn128

    Регистр.:
    31 июл 2013
    Сообщения:
    388
    Симпатии:
    172
    Проверь крон на наличие сторонних задач.
     
  5. typus

    typus

    Регистр.:
    25 июл 2007
    Сообщения:
    640
    Симпатии:
    154
    на самом деле все проще оказалось - спамеры пытались региться в joomla, и по этим адресам отправлялись письма о неудачной регистрации. А т.к. адреса фейковые, то и сообщения ессно не доходят что и формирует деливери рипорты...ну и все разъясняет...
    На всякий случай забанил айпишники в .htaccess, ну и стандартные меры тоже на всякий...так что ложная тревога оказалась )))
     
  6. KerryGregor

    KerryGregor Постоялец

    Регистр.:
    18 апр 2014
    Сообщения:
    61
    Симпатии:
    6
    Поставьте себе вот это:
    https://www.nulled.cc/threads/216573/page-38
    Тема проверенная и хорошая.
    С ее активным сканером не только сможете банить по айпи но и по странам и т.д. Рекомендую настоятельно.
     
  7. Jimm

    Jimm Постоялец

    Регистр.:
    28 июл 2013
    Сообщения:
    115
    Симпатии:
    14
    Я бы добавил, что вы зря панику подняли, то что письма отправляются с подтверждением - это же очевидно, а вот суть ошибки в том, что на эти спамерские адреса отправляется слишком много писем и ящик "не в состоянии их принимать". Как это происходит:
    1. Спамер-бот (а это именно автоматический бот) подписывается на рассылку.
    2. На ящик бота отправляется письмо со ссылкой, в котором он должен подтвердить рассылку.
    3. Т.к. это бот, скорость оформления подписок на разных сайтах у него высокая и, как следствие, к нему идет большой поток писем-подтверждений.
    4. В какой-то момент превышается установленный порог и все остальные получают "отлуп".
    Иными словами - можно вообще не обращать внимания, а тех кто не подтвердил свою подписку раз в месяц удалять из списка пользователей AcyMailing.
     
  8. lurkrz

    lurkrz Создатель

    Регистр.:
    3 май 2012
    Сообщения:
    27
    Симпатии:
    0
    думаю это джумла отправляет письма после регистрации с активацией пользователю и поэтому ошибка т к ящик не существует
     
  9. Jimm

    Jimm Постоялец

    Регистр.:
    28 июл 2013
    Сообщения:
    115
    Симпатии:
    14
    Неправильно думаете. Похоже, вы даже не читали, что написали остальные, в т.ч. сам автор.
     
  10. lurkrz

    lurkrz Создатель

    Регистр.:
    3 май 2012
    Сообщения:
    27
    Симпатии:
    0
    почему неправильно? просто я не заметил что автор уже сам до этого додумался, извиняюсь