Помощь Волноваться или нет?

typus

Мой дом здесь!
Регистрация
25 Июл 2007
Сообщения
895
Реакции
241
Приветствую, есть сайт, на вот этом шаблоне был сделан в прошлом году, работает как каталог, рега юзеров прикрыта. Работает acy mailing - рассылки идут регулярно,но не часто и не превышают пару-тройку сотен мыл за отправку. Т.е. рассылки идут практически только тем, кто подписался на них добровольно. То есть кто подписался, автоматом становится юзером в acy mailing, но не добавляется как юзер joomla.
Так вот, в последние 2 дня в юзеры acy mailing стали добавляться автоматом спамеры, не то чтобы очень много, но настойчиво. У всех один и тот же IP - пока абсолютно одинаковый, и очень похожие фейковые мыла на gmail -
kibec0.0.00.0.0000.2@gmail.com
pois.kist.in.i.c.o.m@gmail.com
tal.e.sd.u.ckc.o.m@gmail.com

Со вчерашнего же дня на почту в домене стали приходить письма - отлуп о неудачной отправке.

Код:
Reporting-MTA: dns; dd33102.kasserver.com
X-Postfix-Queue-ID: 7A55A35032356
X-Postfix-Sender: rfc822; info@my-email.com
Arrival-Date: Fri, 20 Nov 2015 05:02:08 +0100 (CET)

Final-Recipient: rfc822; kibec0.0.00.0.0000.2@gmail.com
Action: delayed
Status: 4.2.1
Remote-MTA: dns; alt1.gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 450-4.2.1 The user you are trying to contact is
    receiving mail at a rate that 450-4.2.1 prevents additional messages from
    being delivered. Please resend your 450-4.2.1 message at a later time. If
    the user is able to receive mail at that 450-4.2.1 time, your message will
    be delivered. For more information, please 450-4.2.1 visit 450 4.2.1
    https://support.google.com/mail/answer/6592 n195si8228611lfn.81 - gsmtp
Will-Retry-Until: Wed, 25 Nov 2015 05:02:08 +0100 (CET)



This is the mail system at host dd33102.kasserver.com



####################################################################
# THIS IS A WARNING ONLY.  YOU DO NOT NEED TO RESEND YOUR MESSAGE. #
####################################################################

Your message could not be delivered for more than 4 hour(s).
It will be retried until it is 5 day(s) old.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<allpol.i.t.ol.ogi.j.a@gmail.com>: host
    alt1.gmail-smtp-in.l.google.com[74.125.205.26] said: 450-4.2.1 The user you
    are trying to contact is receiving mail at a rate that 450-4.2.1 prevents
    additional messages from being delivered. Please resend your 450-4.2.1
    message at a later time. If the user is able to receive mail at that
    450-4.2.1 time, your message will be delivered. For more information,
    please 450-4.2.1 visit 450 4.2.1
    https://support.google.com/mail/answer/6592 t76si3738840lfd.37
    - gsmtp (in
    reply to RCPT TO command)

Глядя на репорт видно, что пытается пройти отправка с моего доменного адреса на адреса спамеров. Было бы все понятно, если бы я им отправлял в числе прочих рассылку, но я им точно ничего не отправлял.

Думаю щас, если joomla хакнули, нафига они сами себе то пытаются отправлять? Или все таки идет поток и они свои фейк мыла просто в общей базе оставили? Но тогда я думаю хостер сразу бы прикрыл эту лавочку.

Логи я запросил, на внедренный код и измененные файлы joomla проверю в самое ближайшее время, пароли сменю.
Интересует ваше мнение, что еще надо сделать, как проще всего блокануть по ip, ну в общем, все что может быть полезно в данной ситуации.
 
Читай про iptables.
 
Проверь крон на наличие сторонних задач.
 
на самом деле все проще оказалось - спамеры пытались региться в joomla, и по этим адресам отправлялись письма о неудачной регистрации. А т.к. адреса фейковые, то и сообщения ессно не доходят что и формирует деливери рипорты...ну и все разъясняет...
На всякий случай забанил айпишники в .htaccess, ну и стандартные меры тоже на всякий...так что ложная тревога оказалась )))
 
Поставьте себе вот это:
Для просмотра ссылки Войди или Зарегистрируйся
Тема проверенная и хорошая.
С ее активным сканером не только сможете банить по айпи но и по странам и т.д. Рекомендую настоятельно.
 
Я бы добавил, что вы зря панику подняли, то что письма отправляются с подтверждением - это же очевидно, а вот суть ошибки в том, что на эти спамерские адреса отправляется слишком много писем и ящик "Для просмотра ссылки Войди или Зарегистрируйся". Как это происходит:
  1. Спамер-бот (а это именно автоматический бот) подписывается на рассылку.
  2. На ящик бота отправляется письмо со ссылкой, в котором он должен подтвердить рассылку.
  3. Т.к. это бот, скорость оформления подписок на разных сайтах у него высокая и, как следствие, к нему идет большой поток писем-подтверждений.
  4. В какой-то момент превышается установленный порог и все остальные получают "отлуп".
Иными словами - можно вообще не обращать внимания, а тех кто не подтвердил свою подписку раз в месяц удалять из списка пользователей AcyMailing.
 
Приветствую, есть сайт, на вот этом шаблоне был сделан в прошлом году, работает как каталог, рега юзеров прикрыта. Работает acy mailing - рассылки идут регулярно,но не часто и не превышают пару-тройку сотен мыл за отправку. Т.е. рассылки идут практически только тем, кто подписался на них добровольно. То есть кто подписался, автоматом становится юзером в acy mailing, но не добавляется как юзер joomla.
Так вот, в последние 2 дня в юзеры acy mailing стали добавляться автоматом спамеры, не то чтобы очень много, но настойчиво. У всех один и тот же IP - пока абсолютно одинаковый, и очень похожие фейковые мыла на gmail -
kibec0.0.00.0.0000.2@gmail.com
pois.kist.in.i.c.o.m@gmail.com
tal.e.sd.u.ckc.o.m@gmail.com

Со вчерашнего же дня на почту в домене стали приходить письма - отлуп о неудачной отправке.

Код:
Reporting-MTA: dns; dd33102.kasserver.com
X-Postfix-Queue-ID: 7A55A35032356
X-Postfix-Sender: rfc822; info@my-email.com
Arrival-Date: Fri, 20 Nov 2015 05:02:08 +0100 (CET)

Final-Recipient: rfc822; kibec0.0.00.0.0000.2@gmail.com
Action: delayed
Status: 4.2.1
Remote-MTA: dns; alt1.gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 450-4.2.1 The user you are trying to contact is
    receiving mail at a rate that 450-4.2.1 prevents additional messages from
    being delivered. Please resend your 450-4.2.1 message at a later time. If
    the user is able to receive mail at that 450-4.2.1 time, your message will
    be delivered. For more information, please 450-4.2.1 visit 450 4.2.1
    https://support.google.com/mail/answer/6592 n195si8228611lfn.81 - gsmtp
Will-Retry-Until: Wed, 25 Nov 2015 05:02:08 +0100 (CET)



This is the mail system at host dd33102.kasserver.com



####################################################################
# THIS IS A WARNING ONLY.  YOU DO NOT NEED TO RESEND YOUR MESSAGE. #
####################################################################

Your message could not be delivered for more than 4 hour(s).
It will be retried until it is 5 day(s) old.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<allpol.i.t.ol.ogi.j.a@gmail.com>: host
    alt1.gmail-smtp-in.l.google.com[74.125.205.26] said: 450-4.2.1 The user you
    are trying to contact is receiving mail at a rate that 450-4.2.1 prevents
    additional messages from being delivered. Please resend your 450-4.2.1
    message at a later time. If the user is able to receive mail at that
    450-4.2.1 time, your message will be delivered. For more information,
    please 450-4.2.1 visit 450 4.2.1
    https://support.google.com/mail/answer/6592 t76si3738840lfd.37
    - gsmtp (in
    reply to RCPT TO command)

Глядя на репорт видно, что пытается пройти отправка с моего доменного адреса на адреса спамеров. Было бы все понятно, если бы я им отправлял в числе прочих рассылку, но я им точно ничего не отправлял.

Думаю щас, если joomla хакнули, нафига они сами себе то пытаются отправлять? Или все таки идет поток и они свои фейк мыла просто в общей базе оставили? Но тогда я думаю хостер сразу бы прикрыл эту лавочку.

Логи я запросил, на внедренный код и измененные файлы joomla проверю в самое ближайшее время, пароли сменю.
Интересует ваше мнение, что еще надо сделать, как проще всего блокануть по ip, ну в общем, все что может быть полезно в данной ситуации.
думаю это джумла отправляет письма после регистрации с активацией пользователю и поэтому ошибка т к ящик не существует
 
Неправильно думаете. Похоже, вы даже не читали, что написали остальные, в т.ч. сам автор.
 
Неправильно думаете. Похоже, вы даже не читали, что написали остальные, в т.ч. сам автор.
почему неправильно? просто я не заметил что автор уже сам до этого додумался, извиняюсь
 
Назад
Сверху