Канада Как Надо

Нужна помощь айтишников, СРОЧНО

Написано

alxlabs

в

В продолжение истории с отключением нас из розетки..

1. Итак вчера я выключил отправку любой почты с нашей стороны через настройки phpBB
2. После просмотра сегодня лога /var/log/maillog выяснилось что таки да, отправляют спам.
[code]
Oct 7 12:44:57 razgovory sendmail[15579]: STARTTLS=client, relay=dc-f2dbd2b680e2.viagrasld.com., version=TLSv1/SSLv3, verify=FAIL, cipher=DHE-RSA-AES256-SHA, bits=256/256
Oct 7 12:44:57 razgovory sendmail[15579]: 095LC7I4026574: to=<matchmakeg@viagrasld.com>, ctladdr=<apache@razgovory.com> (48/48), delay=1+19:32:50, xdelay=00:00:02, mailer=esmtp, pri=4082045, relay=dc-f2dbd2b680e2.viagrasld.com. [89.108.
Oct 7 12:44:59 razgovory sendmail[15579]: STARTTLS=client, relay=inmx.rambler.ru., version=TLSv1/SSLv3, verify=FAIL, cipher=ECDHE-RSA-AES256-GCM-SHA384, bits=256/256
Oct 7 12:44:59 razgovory sendmail[15579]: 095GxurQ013296: to=<ninadacusgr@rambler.ru>, ctladdr=<apache@razgovory.com> (48/48), delay=1+23:45:02, xdelay=00:00:01, mailer=esmtp, pri=4442028, relay=inmx.rambler.ru. [81.19.78.64], dsn=4.5.3
[/code]
3. Причем отправляют через Apache и скорее всего через php. Быстрый поиск гуглом ничего не дал кроме варианта запретить отправку почты через php — вот здесь говорят что надо сделать в php.ini -> disabled_functions = mail. Я это сделал и вроде бы прекратилось это безобразие.

Но! Вопрос — почта все равно нужна потому что нужно отправлять емейлы при регистрации пользователей. Соответственно — [b][u]где эта зараза и какой механизм заражения[/u][/b]? Гугл ничего внятного и полезного не ответил.

Комментарии

  1. Аватар пользователя alxlabs
    alxlabs

    ЗЫ У меня нет времени разбираться в этом. Если кто-то может помочь но операция времязатратная, то напишите мне, я дам рутовый пароль.

  2. Аватар пользователя alxlabs
    alxlabs

    Это не помогло — все равно есть в логах попытки отправки спама. Народ, если не получится это прекратить до конца дня, это будет КОНЕЦ этому ресурсу

  3. Аватар пользователя alxlabs
    alxlabs

    Я сделал ./sendmail stop посмотрим что будет

  4. Аватар пользователя SUETA
    SUETA

    Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.

  5. Аватар пользователя Mara
    Mara

    [quote=»SUETA»]Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.
    А ведь сколько было тем, где айтишники один перед другим рисовались своей «крутизной»…

  6. Аватар пользователя Pochemychker
    Pochemychker

    [quote=»alxlabs»]Я сделал ./sendmail stop посмотрим что будет

    к сожалению sendmail дырявый весь, а у меня опыта борьбы с этим нет никакого — могу только ссылкой нагугленной поделиться (на предмет того что и где посмотреть) по директориям и где запретить запись 😳
    https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

  7. Аватар пользователя Pochemychker
    Pochemychker

    [quote=»Mara»][quote=»SUETA»]Козлы (не образно, а натурально), когда с одним что-нибудь случилось ничем помочь не могут, а тупо собираются и сочувственно смотрят. Никого оскорбить и в мыслях нет, просто напомнило ситуацию.
    А ведь сколько было тем, где айтишники один перед другим рисовались своей «крутизной»…

    Mara — как же я это пропустил — ссылку дайте что-ли .. ух мы им. А по факту — нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый

  8. Аватар пользователя alxlabs
    alxlabs

    Фишка в том, что я запретил из php обращаться к sendmail, сверх того сделал ему stop и заодно застопил dovecot — пока вроде тихо…ждем что будет. Надо бекап сделать полный

  9. Аватар пользователя Tierra Verde
    Tierra Verde

    [quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.

  10. Аватар пользователя alxlabs
    alxlabs

    Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

  11. Аватар пользователя alxlabs
    alxlabs

    Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

  12. Аватар пользователя Tierra Verde
    Tierra Verde

    [quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.

  13. Аватар пользователя alxlabs
    alxlabs

    [quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.

  14. Аватар пользователя Ju287
    Ju287

    Может форум перенести на другую более современную платформу? Я не знаю, WordPress какой-нибудь.
    Вроде уже обсуждалось год или 2 назад.

  15. Аватар пользователя alxlabs
    alxlabs

    [quote=»Ju287″]Может форум перенести на другую более современную платформу? Я не знаю, WordPress какой-нибудь.
    Вроде уже обсуждалось год или 2 назад.
    Это не поможет, поскольку взломали не форум, а сервер.

  16. Аватар пользователя alxlabs
    alxlabs

    ЗЫ Большая просьба не засорять эту ветку. Я с радостью поговорю о чем угодно, но если у вас нечего сказать по делу, то лучше это сделать в отдельной ветке.

  17. Аватар пользователя Житель Квебенской Глуши
    Житель Квебенской Глуши

    1. закрыть ресурс (сервер) на несколько дней, чтобы хостер не прикрыл
    попробовать найти в это время консультанта

    если таковой не находится

    2 закрыть ресурс для новых записей (и прибить таким образом и спам и возможность регистрации), всем переехать в группу в мордокниге, разместив на ресурсе объявление

  18. Аватар пользователя alxlabs
    alxlabs

    Проблема в том, что хакнут не ресурс а сервер. Т.е. закрыть сервер и повесить на нем обьявление не выйдет, поскольку он будет закрыт ака выключен.

    Поэтому:
    1. В первую очередь надо найти способ остановить безобразие любой ценой, но так чтобы не выключать сервер и чтобы можно было что-то прочитать. Иначе нас выключат из розетки к 11 часам вечера.
    2. После выполнения п.1 надо найти и обезвредить гада, который позволяет делать такие непотребства.

    Первая проблема ака п.1 вроде бы на текущий момент решена (см шаги выше), по крайней мере я не вижу никаких проявлений больше, но почта не работает. Надо осуществить п.2
    Проблема вытекающая из п.2 — у меня нет достаточного количества времени чтобы работать на основной работе и искать в гуглах обьяснение сему. Поэтому клич остается активным: [b][u][i]кто может реально помочь — дайте знать ASAP[/i][/u][/b].

  19. Аватар пользователя Нет-нет
    Нет-нет

    [quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.

  20. Аватар пользователя alxlabs
    alxlabs

    [quote=»Нет-нет»][quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.
    Если номер мобильный, то давай, я ему напишу СМСку где обьясню что нужно.

  21. Аватар пользователя Нет-нет
    Нет-нет

    [quote=»alxlabs»][quote=»Нет-нет»][quote=»alxlabs»][quote=»Tierra Verde»][quote=»alxlabs»]Я честно говоря в первый раз с таким сталкиваюсь, обычно помогает погуглить, но не в этот раз..
    [quote=»Tierra Verde»][quote=»Pochemychker»]нужен не айтишник а сисадмин с опытом работы с почтовыми серверами (причём не exchange) .. зверь не очень частый
    Нужно найти Тарантино, по-моему, он сисадмин.
    Если кто знает как его найти, то найдите пожалуйста. Счет идет на часы. Если мы не успеем закрыть эту дыру до 11 вечера, то этому ресурсу будет каюк от хостера.

    Отправила ему ЛС.
    Ждем.
    Он не получит о нем уведомления потому что почта выключена, см выше. Если он не получит уведомления, значит скорее всего он его не увидит.
    У меня есть его телефон, но как-то неудобно вот так. Леша, если всю вину на себя возьмешь за беспокойство тебе лично могу дать номер.
    Если номер мобильный, то давай, я ему напишу СМСку где обьясню что нужно.
    ЛС

  22. Аватар пользователя alxlabs
    alxlabs

    Спасибо 🙂 Написал, ждемс.

  23. Аватар пользователя Mara
    Mara

  24. Аватар пользователя Lesha $pb
    Lesha $pb

    На привете ([url]https://forum.privet.com/[/url]) пару дней назад похоже та-же проблема была. У них тот-же движок и видимо всё остальное. Попробуйте связаться с администратором, Позывной Privet, наверняка он в курсе, форум снова жив.

  25. Аватар пользователя Ilya
    Ilya

    [quote=»alxlabs»]Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

    если запросы только на форум значит дыра в форумном движке. сервер (i апач) нипричём (постольку/поскольку)
    [b][u]вероятно [/u][/b]правильно сформированое УРЛ вызывает посылку емэил (или что то вроде), [b][u]в таком случае[/u][/b] надо запретить апачу (обрабатывать) УРЛ такого типа которые приходят не с родного сервера

  26. Аватар пользователя alxlabs
    alxlabs

    [quote=»Ilya»][quote=»alxlabs»]Чего я не понимаю и было бы неплохо чтобы кто-то обьяснил…
    Я понимаю что ноги растут из sendmail. Но для того, чтобы этим воспользоваться надо как то попасть внутрь системы. Вопрос: как это было сделано? Это не было сделано при помощи apache поскольку в логах апача в момент времени +- 1 минута от события нет никаких обращений ни к каким неизвестным скриптам, только строго к phpbb форума. Обычные viewtopic итд. ОК, допустим не из апача. Тогда как это было сделано, ведь главное перекрыть эту дырку?

    если запросы только на форум значит дыра в форумном движке. сервер (i апач) нипричём (постольку/поскольку)
    [b][u]вероятно [/u][/b]правильно сформированое УРЛ вызывает посылку емэил (или что то вроде), [b][u]в таком случае[/u][/b] надо запретить апачу (обрабатывать) УРЛ такого типа которые приходят не с родного сервера
    Проблема в том, что я не вижу никаких запросов на URL кроме очень стандартных и очень коротких которые не должны являтся причиной такого. Я могу дать вам логи полностью.

  27. Аватар пользователя alxlabs
    alxlabs

    См http://www.razgovory.com/logs.zip

    Вся почта, которая отправляется в этих логах есть спам.

  28. Аватар пользователя alxlabs
    alxlabs

    Посовещавшись со знающими людьми (Shadow) принято решение снести нафих sendmail и dovecot и сделать доставку через внешний сервис например https://sendgrid.com/free но надо убрать все старые подписки из форума.

    Спасибо всем большое и главное большое спасибо Shadow за помощь.

  29. Аватар пользователя alxlabs
    alxlabs

    В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

  30. Аватар пользователя Mara
    Mara

    [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь
    Спасибо обоим! :s6:

  31. Аватар пользователя Житель Квебенской Глуши
    Житель Квебенской Глуши

    [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь
    :Laie_94:
    слава ремонтникам!

  32. Аватар пользователя Pochemychker
    Pochemychker

    [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

    эммм … для очистки совести — сменить всем колёсам и руту пароли ? и почистить логи ?

  33. Аватар пользователя alxlabs
    alxlabs

    [quote=»Pochemychker»][quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.

    эммм … для очистки совести — сменить всем колёсам и руту пароли ? и почистить логи ?
    Это я уже сделал

  34. Аватар пользователя Bentham
    Bentham

    [quote=»alxlabs»]В общем еще раз спасибо Shadow за помощь, я думаю что на это раз это все.

    Выяснилось — в далеком 2016 году когда мы переезжали на этот сервер я поставил postfix, он мне чем-то не понравился и я решил его заменить на dovecot, но почему-то не снес postfix и установил dovecot сверху. Как ни странно это работало, до тех пор пока не появились спаммеры. Я снес dovecot и не зная что есть еще и postfix решил что все решено. Каково же было мое удивление когда опять нас выключили.. Открыв логи я увидел там postfix и решил что нас вообще хакнули на всю голову.. но все оказалось проще, когда начали смотреть когда postfix установлен, оказалось что в тот же день что и dovecot, причем последний был установлен не снося первого.
    Ничего не поняла, но говорю «спасибо» тем, кто понял и устранил

  35. Аватар пользователя A.K.
    A.K.

    [quote=»Bentham»]Ничего не поняла, но говорю «спасибо» тем, кто понял и устранил
    :mrgreen: :mrgreen: :mrgreen:

    Респект беневолям-трудоголикам!!!

  36. Аватар пользователя Tierra Verde
    Tierra Verde

    Новой жизни форуму!
    Спасибо айтишникам и alxlabs, а также всем сострадающим! 😉

  37. Аватар пользователя Грум-ГржЫмайло
    Грум-ГржЫмайло

    ничего в этом не понимаю

    но спасибо всем кто постарался

    еще раз спасибо

Добавить комментарий

Больше записей