Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Массовая рассылка корреспонденции (SPAM)


Mor940k

Recommended Posts

Друзья!

Подскажите, кто сталкивался с таким и есть решения такой проблемы?

Периодически регистрируются странные аккаунты в Покупатели. Установил капчу от гугл, но они её обходят.

Перестали отправляться заказы на все указанные почты в админке (c доменом и gmail)

И тут прилетает письмо от хоста:

 

Для площадки u***** отключена возможность отправлять письма из скриптов.

С площадки шла массовая рассылка незапрошенной корреспонденции (спам). Рассылка совершалась с помощью PHP-скрипта, размещенного на площадке. (см. пример письма по ссылке, строки X-PHP-Script или X-PHP-Originating-Script)  https://sample.masterhost.ru/34619699917-20715b71de578bc97c081facf12456c35bd6f.txt 

Уточнение: теперь невозможна отправка электронной почты через скрипты, при этом основная почта доменов (pop, smtp, imap) осталась в рабочем состоянии.

Скорее всего с вашего компьютера украден FTP-пароль и вирус загружен на ваши сайты, либо файлы изменены (добавлены) через уязвимость в скриптах одного из ваших сайтов.

Вам необходимо обновить используемые скрипты, закрыв в них уязвимости, например, обновив вашу CMS, и удалить имеющийся вредоносный код.

Порядок действий:

1. смените ftp-пароль https://cp.masterhost.ru/requests/change_ftp_passwd
2. закажите резервную копию ОБЯЗАТЕЛЬНО за ту дату, когда вируса на вашем сайте не было: https://cp.masterhost.ru/requests/get_backup
3. ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер

4. используйте защищенный доступ http://masterhost.ru/support/doc/ftp/#sftp
5. проверьте наличие посторонних файлов и вирусов на вашем сайте с помощью специализированных внешних сервисов и скриптов. Компании оказывающие подобные услуги можно найти в Интернете.
6. если вы сохранили подозрительный или измененный файл сайта появившийся на площадке, то по метке времени его создания выполните анализ HTTP POST запросов к сайтам которые были выполнены в это время. В некоторых случаях полученная информация из журналов может помочь найти уязвимые скрипты сайта и посторонние вредоносные файлы. Журналы HTTP запросов к сайтам (access_log) за последние 14 дней доступны в корне площадки в директории _logs

--
Служба мониторинга сервисов
.masterhost


 

Надіслати
Поділитися на інших сайтах


Вот такой хост прислал отчёт:

Received: from gen196.hs.shared.masterhost.ru ([90.156.169.88])

                by relay6.shared.masterhost.ru with esmtp

                envelope from <php-sender-*****[email protected]>

                message id 1kKCe3-0000VE-57

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:39 +0300

Received: from u178953 by gen196.hs.shared.masterhost.ru with local (Exim 4.80)

                (envelope-from <php-sender-*****[email protected]>)

                id 1kKCdx-00009p-Qr

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:33 +0300

To: *****@gmail.com

Subject: =?UTF-8?B?0KHQvtC+0LHRidC10L3QuNC1INC+0YIgV2lsbGlhbWdsYXJs?=

X-PHP-Script: *****.ru/index.php for 178.159.37.92

X-PHP-Originating-Script: 5614:mail.php

MIME-Version: 1.0

Date: Mon, 21 Sep 2020 06:37:33 +0300

From: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

Reply-To: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

X-Mailer: PHP/5.4.45-1+mh3

Content-Type: multipart/mixed; boundary="----=_NextPart_864ae87a91ea53d610588b2dc02f998d"

Message-Id: <[email protected]>

 

------=_NextPart_864ae87a91ea53d610588b2dc02f998d

Content-Type: text/plain; charset="utf-8"

Content-Transfer-Encoding: 8bit

 

Istllet kan jag genvg du direkt till den produkt som fungerade fr mig

varannan dag och alkoholen http://gpstudentplacements.com.au/forums/topic/kop-melovem/ Utan recept medicinering p nyheterna

&lt;a href=https://forum.compucoin.org/showthread.php?tid=638345&amp;pid=1334170#pid1334170&gt;7e0&lt;/a&gt;

 Men klor blir gas vid lgre temperaturer n vatten gr Denna stabiliseringsprocessen garanterar att du har mindre rrelse i ditt objektiv hela dagen och astigmatism eliminering av suddighet r kritisk

Skillnaden mellan problem http://proscene.co.ke/index.php/forum/donec-eu-elit/103570-rabatt-diklofenak-mylan#111255 Utan recept vener

Binjurarna i kroppen tjnar till att producera adrenalin och kortisol, tv hormoner viktigt i dag till dag funktion i kroppen

Jag fick nyligen ett mail frn en potentiell dieter som berttade att ven hon var fascinerad av Medifast kost och knde en del mnniskor som hade bra resultat p det, var hon ovillig att prova det eftersom, som en Account Executive, hon mste ha fretagens luncher p restauranger och hon uppenbarligen inte kunde ta med hennes Medifast mltider vid dessa utflykter

magsmrta jmfr https://www.minsep.cm/forums/topic/koper-cliovelle/ Igenom nsblod p

&lt;a href=https://www.oda-team.fr/forums/topic/1qp/&gt;1qp&lt;/a&gt;

&lt;a href=https://www.oda-team.fr/forums/topic/bpa/&gt;bpa&lt;/a&gt;

 Ldor kan variera i de flesta ngon hjd, men en gemensam utveckling kan g frn 12, 18 och 24 inches i hjd

------=_NextPart_864ae87a91ea53d610588b2dc02f998d--

Надіслати
Поділитися на інших сайтах


вероятно на сайт залили спам-майлер. если почистить, то нужен полный доступ в панель хостинга - по фтп долго. у меня целая коллекция отловленных майлеров, бэкдоров, шеллов...

Надіслати
Поділитися на інших сайтах

Чаще всего спам идет с формы обратной связи
Если у вас включена гуглкаптча, то можно сделать небольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php
после строки

public function validate() {

добавьте

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

или поставьте

 

Надіслати
Поділитися на інших сайтах


Спасибо, друзья!

Хост рекомендовал первым шагом просканировать полностью площадку на вредоносный код, скрипты и вирусы.

Написал им заявку, они провели скан.

Результат:

Отчет сканера AI-Bolit vHOSTER-30.1.1: /home/u******/ (2/0)

Затрачено времени: 12297.3. Сканирование начато 26-09-2020 в 13:53:54, сканирование завершено 26-09-2020 в 17:18:51
Всего проверено 0 директорий и 38308 файлов. Использовано памяти при сканировании: 15.52 Mb.

 

Сводный отчет

Критические замечания
Вирусы и вредоносные скрипты не обнаружены.

Надіслати
Поділитися на інших сайтах


В 26.09.2020 в 19:26, thentru сказал:

Чаще всего спам идет с формы обратной связи
Если у вас включена гуглкаптча, то можно сделать небольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php

Подскажи плиз. У меня установлено расширение Google reCAPTCHA v.2 . Сам сайт с шаблоном Revolution 

catalog/controller/captcha/google_captcha.php - этого пути нет. Есть другой путь catalog\controller\extension\captcha\google_captcha_two.php 

Где такие строки нашёл:

    public function validate() {

        if (empty($this->session->data['gcapcha'])) {

            $this->load->language('extension/captcha/google_captcha');

            $recaptcha = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret=' . urlencode($this->config->get('google_captcha_secret')) . '&response=' . $this->request->post['g-recaptcha-response'] . '&remoteip=' . $this->request->server['REMOTE_ADDR']);    

            $recaptcha = json_decode($recaptcha, true);    

            if ($recaptcha['success']) {

                $this->session->data['gcapcha'] = true;

            } else {

                return $this->language->get('error_captcha');

            }

        }

    }

 

и такой путь, как указал второй catalog\controller\extension\captcha\google_captcha.php

Такие же строки дублируются.

 

Правильно в них добавить и остальное не трогать?

после строки

public function validate() {

добавьте

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

 

Надіслати
Поділитися на інших сайтах


У меня на 2-ом сайте постоянно регистрируются левые "Покупатели", например:

MusorPaivy MusorPaivyPC - регистрация аккаунта.

direlolavez18 Сиалис 5 мг дженерик - регистрация

Charlesbekly CharlesbeklyLN - регистрация покупателя

 

Устал их удалять или отключать статус. Я так и не понял, меньше стали регистрироваться после установки расширения Google reCAPTCHA v.2 или нет?

Такие персоны вообще опасны на взлом или спам?

Надіслати
Поділитися на інших сайтах


в обоих файлах можно добавить
даже так, чтобы не делать лишний запрос к гуглу
после

Цитата

$this->load->language('extension/captcha/google_captcha');

добавить

if (!isset($this->request->post['g-recaptcha-response'])) {
  return $this->language->get('error_captcha');
}

 

Надіслати
Поділитися на інших сайтах


Вопрос! Случайно на форму Регистрации есть фикс? Или лучше обратиться к разработчику шаблона Revolution

Опять непонятный зарегистрировался :wacko: И таких море. Бывает в день сразу 2-3 бота или как их там.

В форме регистрации капча Гугл у меня стоит. Как они её обходят возможно?

 

fokoswic fokoswicGK - регистрация аккаунта.
 05/10/2020 17:40:37

 

IP    
193.19.75.218

 

Имя покупателя E-Mail Группа покупателей Статус IP Дата добавления Действие
  Charlesbekly CharlesbeklyLN [email protected] Бот (спам) Отключено 174.76.35.7 08.09.2020  
 
  
  DarkAura DarkAura [email protected] Бот (спам) Отключено 59.124.224.180 03.06.2020  
 
  
  DarnellJoilt DarnellJoiltCA [email protected] Бот (спам) Отключено 188.187.190.64 11.02.2020  
 
  
  Daviddor DaviddorUX [email protected] Бот (спам) Отключено 188.187.190.64 01.03.2020  
 
  
  DavidMom DavidMomZV [email protected] Бот (спам) Отключено 5.3.177.105 06.09.2020  
 
  
  direlolavez18 Сиалис 5 мг дженерик [email protected] Бот (спам) Отключено 31.13.191.123 17.09.2020  
 
  
  DmitriyB Дмитрий [email protected] Бот (спам) Отключено 94.25.172.17 11.11.2019  
 
  
  Edwardfub EdwardfubZU [email protected] Бот (спам) Отключено 176.103.93.79 03.10.2020  
 
  
  Eleoangessy EleoangessyBF [email protected] Бот (спам) Отключено 5.188.84.6 14.03.2020  
 
  
  fokoswic fokoswicGK [email protected] Бот (спам) Отключено 193.19.75.218 05.10.2020  
 
  
  forerokateb52 Женская виагра 100 мг купить [email protected] Бот (спам) Отключено 89.36.224.11 14.09.2020  
 
  
  gerelomated91 Noah [email protected] Бот (спам) Отключено 84.17.59.81 08.09.2020  
 
  
  GTA5ManBrelp GTA5ManBrelpRC [email protected] Бот (спам) Отключено 212.92.108.84 14.04.2020  
 
  
  KaqaztikGite KaqaztikGite [email protected] Бот (спам) Отключено 159.224.255.154 21.02.2020  
 
  
  KratosSys KratosSysWV [email protected] Бот (спам) Отключено 5.62.19.54 24.08.2020  
 
  
  KristinaRer KristinaRerMB [email protected] Бот (спам) Отключено 185.255.96.99 18.03.2020  
 
  
  Louiswhawl LouiswhawlUM [email protected] Бот (спам) Отключено 37.120.203.25 02.04.2020  
 
  
  MusorPaivy MusorPaivyPC [email protected] Бот (спам) Отключено 14.164.67.41 27.09.2020  
 
  
  Nextdemn NextdemnCG [email protected] Бот (спам) Отключено 46.187.22.208 28.08.2020  
 
  
  Nextdemn NextdemnCG [email protected] Бот (спам) Отключено 46.187.25.61 03.09.2020  
 
  
  profpdaf profpdafBS [email protected] Бот (спам) Отключено 176.100.189.4 26.08.2020  
 
  
  REDHERRiNG jacky Gomes [email protected] Бот (спам) Отключено 23.108.44.107 14.05.2020  
 
  
  RichardVek RichardVekJO [email protected] Бот (спам) Отключено 93.124.105.236 09.09.2020  
 
  
  Rigelicoda RigelicodaYG [email protected] Бот (спам) Отключено 94.23.61.181 14.03.2020  
 
  
  Robertcom RobertcomMS [email protected] Бот (спам) Отключено 46.33.33.84 30.06.2020  
 
  
  RupertMof RupertMofMX [email protected] Бот (спам) Отключено 37.115.120.52 24.08.2020  
 
  
  Starikov27 Starikov27 [email protected] Бот (спам) Отключено 80.89.234.142 05.04.2020  
 
  
  StephenNR DavidXFEU [email protected] Бот (спам) Отключено 95.72.238.217 11.03.2020  
 
  
  valenvv valenvv [email protected] Бот (спам) Отключено 188.163.74.184 22.08.2020  
 
  
  Vengerov19 Serdityh63YQ [email protected] Бот (спам) Отключено 185.104.184.116 02.09.2020  
 
  
  VeroniCat venomousMN [email protected] Бот (спам) Отключено 5.44.174.37 18.05.2020  
 
  
  Vetlickij626 Vetlickij626 [email protected] Бот (спам) Отключено 195.181.175.112 28.06.2020  
 
  
  winshlwin winshlwin [email protected] Бот (спам) Отключено 37.229.198.155 12.06.2020  
 
  
  Zacesebaqoo Zacesebaqoo [email protected] Бот (спам) Отключено 159.224.255.154 22.05.2020  
 
  
  Zacesebaqoo Zacesebaqoo [email protected] Бот (спам) Отключено 159.224.255.154 10.09.2020
Змінено користувачем Mor940k
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.