Как выщимить спам-систему на хостинге?

Discussion in 'Хостинги - Hostings' started by rijy, 17 Jan 2013.

  1. rijy

    rijy Banned

    Joined:
    25 Sep 2006
    Messages:
    395
    Likes Received:
    386
    Reputations:
    175
    Здравствуйте, уважаемые форумчане!
    Столкнулся со следующей проблемой..
    Есть дедик на Linux/FreeBSD, на нем размещено более сотни сайтов. Сайты разные, разные CMS..
    Через фтп/аккаунт одного сайта, на другой залезть невозможно. Периодически через уязвимости движков взламывают то один то другой сайт. В последнее время при взломах начали размещать в папках взломанного сайта системы для спам-рассылки. О том что на дедике размещена такая система я узнаю только когда айпишник сервера попадает в стоп-листы почтовых служб (проверяем тут - http://www.senderbase.org) и перестают отправляться письма с почтовых акков сервера.
    Приходится сливать все сайты и искать нечисть просто по названию файлов, т.к. хостер не предоставляет никакой статистики, которая позволила бы определить подозрительную активность.
    Однако после последнего взлома и попадания в стоп-листы, проверив файлы поиском - к сожалению ничего не нашел, хотя спам 100% рассылается, и рассылается именно с нашего IP.
    Перепроверять сотни тысяч файлов вручную - конечно не вариант. Посоветуйте пожалуйста, как быть в данной ситуации. Чем можно найти эту спам-систему?
    Спасибо.
     
  2. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    2,009
    Likes Received:
    900
    Reputations:
    198
    Ку, Рыж, на серваке sendmail?
     
    _________________________
  3. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    912
    Likes Received:
    474
    Reputations:
    723
    Если дедик ваш, странно что хостер не дает стату. А так посмотрите тут http://howtomania.ru/?p=14
     
    _________________________
    1 person likes this.
  4. rijy

    rijy Banned

    Joined:
    25 Sep 2006
    Messages:
    395
    Likes Received:
    386
    Reputations:
    175
    прив)
    да.. sendmail
    рут-доступа нет(
     
  5. ourcode

    ourcode New Member

    Joined:
    2 Feb 2013
    Messages:
    21
    Likes Received:
    4
    Reputations:
    5
    Возможны следующие варианты:

    1. спам через sendmail
    Нужно подменить sendmail в период активности (использования) системы на скрипт или другое приложение, которое залогирует информацию о вызвавшем его скрипте, юзере, текущей директории и т.д., что даст возможность вычислить систему.

    2. спам через proxy/socks
    Настройка firewall ipfw или iptables, для невозможности использовать сервер в качестве proxy/socks

    3. спам через dns
    Настройка firewall ipfw или iptables, для невозможности использовать встроенный smtp сервер, кроме sendmail, здесь возможно поможет selinux

    4. найти вредосные скрипты можно через консоль при помощи следующих утилит

    grep -rn 'system' /var/vhosts
    grep -rn 'passthru' /var/vhosts
    grep -rn 'eval' /var/vhosts
    grep -rn 'mail' /var/vhosts
    grep -rn 'другая критическая сигнатура' /var/vhosts
    grep -rn [регулярное выражение] /var/vhosts
    и т.д.

    Проверить директории, имеющие права на запись. Уменьшить их количество до минимума.

    Проверить скрипты, файлы (возможно расширение не скрипта, а используется допустим локальный include файла с кодом)

    Запретить работу с сокетами в скриптах, если таковая ненужна, по средством php.ini
     
Loading...