Нужна помощь айтишников, СРОЧНО

В продолжение истории с отключением нас из розетки..

1. Итак вчера я выключил отправку любой почты с нашей стороны через настройки phpBB
2. После просмотра сегодня лога /var/log/maillog выяснилось что таки да, отправляют спам.
[code]
Oct 7 12:44:57 razgovory sendmail[15579]: STARTTLS=client, relay=dc-f2dbd2b680e2.viagrasld.com., version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256
Oct 7 12:44:57 razgovory sendmail[15579]: 095LC7I4026574: to=<matchmakeg@viagrasld.com>, ctladdr=<apache@razgovory.com> (48/48), delay=1+19:32:50, xdelay=00:00:02, mailer=esmtp, pri=4082045, relay=dc-f2dbd2b680e2.viagrasld.com. [89.108.
Oct 7 12:44:59 razgovory sendmail[15579]: STARTTLS=client, relay=inmx.rambler.ru., version=TLSv1/SSLv3, verify=FAIL, cipher=ECDHE-RSA-AES256-GCM-SHA384, bits=256/256
Oct 7 12:44:59 razgovory sendmail[15579]: 095GxurQ013296: to=<ninadacusgr@rambler.ru>, ctladdr=<apache@razgovory.com> (48/48), delay=1+23:45:02, xdelay=00:00:01, mailer=esmtp, pri=4442028, relay=inmx.rambler.ru. [81.19.78.64], dsn=4.5.3
[/code]
3. Причем отправляют через Apache и скорее всего через php. Быстрый поиск гуглом ничего не дал кроме варианта запретить отправку почты через php — вот здесь говорят что надо сделать в php.ini -> disabled_functions = mail. Я это сделал и вроде бы прекратилось это безобразие.

Но! Вопрос — почта все равно нужна потому что нужно отправлять емейлы при регистрации пользователей. Соответственно — [b][u]где эта зараза и какой механизм заражения[/u][/b]? Гугл ничего внятного и полезного не ответил.

alxlabs
alxlabs
Статей: 169

Похожие записи

Комментариев нет

  1. ЗЫ У меня нет времени разбираться в этом. Если кто-то может помочь но операция времязатратная, то напишите мне, я дам рутовый пароль.

  2. Это не помогло — все равно есть в логах попытки отправки спама. Народ, если не получится это прекратить до конца дня, это будет КОНЕЦ этому ресурсу

  4. Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.

  5. [quote=»SUETA»]Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.
    А ведь сколько было тем, где айтишники один перед другим рисовались своей «крутизной»…

  6. [quote=»alxlabs»]Я сделал ./sendmail stop посмотрим что будет

    к сожалению sendmail дырявый весь, а у меня опыта борьбы с этим нет никакого — могу только ссылкой нагугленной поделиться (на предмет того что и где посмотреть) по директориям и где запретить запись 😳
    https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

  7. [quote=»Mara»][quote=»SUETA»]Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.
    А ведь сколько было тем, где айтишники один перед другим рисовались своей «крутизной»…

    Mara — как же я это пропустил — ссылку дайте что-ли .. ух мы им. А по факту — нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый

  8. Фишка в том, что я запретил из php обращаться к sendmail, сверх того сделал ему stop и заодно застопил dovecot — пока вроде тихо…ждем что будет. Надо бекап сделать полный

  9. [quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.

  10. Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

  11. Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

  12. [quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.

  13. [quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.

  14. Может форум перенести на другую более современную платформу? Я не знаю, WordPress какой-нибудь.
    Вроде уже обсуждалось год или 2 назад.

  15. [quote=»Ju287″]Может форум перенести на другую более современную платформу? Я не знаю, WordPress какой-нибудь.
    Вроде уже обсуждалось год или 2 назад.
    Это не поможет, поскольку взломали не форум, а сервер.

  16. ЗЫ Большая просьба не засорять эту ветку. Я с радостью поговорю о чем угодно, но если у вас нечего сказать по делу, то лучше это сделать в отдельной ветке.

  17. 1. закрыть ресурс (сервер) на несколько дней, чтобы хостер не прикрыл
    попробовать найти в это время консультанта

    если таковой не находится

    2 закрыть ресурс для новых записей (и прибить таким образом и спам и возможность регистрации), всем переехать в группу в мордокниге, разместив на ресурсе объявление

  18. Проблема в том, что хакнут не ресурс а сервер. Т.е. закрыть сервер и повесить на нем обьявление не выйдет, поскольку он будет закрыт ака выключен.

    Поэтому:
    1. В первую очередь надо найти способ остановить безобразие любой ценой, но так чтобы не выключать сервер и чтобы можно было что-то прочитать. Иначе нас выключат из розетки к 11 часам вечера.
    2. После выполнения п.1 надо найти и обезвредить гада, который позволяет делать такие непотребства.

    Первая проблема ака п.1 вроде бы на текущий момент решена (см шаги выше), по крайней мере я не вижу никаких проявлений больше, но почта не работает. Надо осуществить п.2
    Проблема вытекающая из п.2 — у меня нет достаточного количества времени чтобы работать на основной работе и искать в гуглах обьяснение сему. Поэтому клич остается активным: [b][u][i]кто может реально помочь — дайте знать ASAP[/i][/u][/b].

  19. [quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.

  20. [quote=»Нет-нет»][quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.
    Если номер мобильный, то давай, я ему напишу СМСку где обьясню что нужно.

  21. [quote=»alxlabs»][quote=»Нет-нет»][quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.
    Если номер мобильный, то давай, я ему напишу СМСку где обьясню что нужно.
    ЛС

  24. На привете ([url]https://forum.privet.com/[/url]) пару дней назад похоже та-же проблема была. У них тот-же движок и видимо всё остальное. Попробуйте связаться с администратором, Позывной Privet, наверняка он в курсе, форум снова жив.

  25. [quote=»alxlabs»]Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

    если запросы только на форум значит дыра в форумном движке. сервер (i апач) нипричём (постольку/поскольку)
    [b][u]вероятно [/u][/b]правильно сформированое УРЛ вызывает посылку емэил (или что то вроде), [b][u]в таком случае[/u][/b] надо запретить апачу (обрабатывать) УРЛ такого типа которые приходят не с родного сервера

  26. [quote=»Ilya»][quote=»alxlabs»]Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

    если запросы только на форум значит дыра в форумном движке. сервер (i апач) нипричём (постольку/поскольку)
    [b][u]вероятно [/u][/b]правильно сформированое УРЛ вызывает посылку емэил (или что то вроде), [b][u]в таком случае[/u][/b] надо запретить апачу (обрабатывать) УРЛ такого типа которые приходят не с родного сервера
    Проблема в том, что я не вижу никаких запросов на URL кроме очень стандартных и очень коротких которые не должны являтся причиной такого. Я могу дать вам логи полностью.

  28. Посовещавшись со знающими людьми (Shadow) принято решение снести нафих sendmail и dovecot и сделать доставку через внешний сервис например https://sendgrid.com/free но надо убрать все старые подписки из форума.

    Спасибо всем большое и главное большое спасибо Shadow за помощь.

  29. В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

  32. [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

    эммм … для очистки совести — сменить всем колёсам и руту пароли ? и почистить логи ?

  33. [quote=»Pochemychker»][quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

    эммм … для очистки совести — сменить всем колёсам и руту пароли ? и почистить логи ?
    Это я уже сделал

  34. [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.
    Ничего не поняла, но говорю «спасибо» тем, кто понял и устранил

Ответить

Сейчас популярно

Котятам исполнился год
Как подать документы в Express Entry?
Продление экстренных выплат жителям Канады
Важное условие для иммиграции в Канаду