Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Это значит, что взломали?


gomer777

Recommended Posts

Добрый день!

Нездоровый симптом: вчера получил на свою почту администратора магазина спам со своего же магазина (того же адреса). Предчувствие нехорошее.  Ваш вердикт, и куда кидаться. Сам пока слабовато разбираюсь. 

Спасибо.

спам.jpg

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...

Похожая ситуация. На магазинную почту приходит спам от этой же почты. Я сперва думал, что там просто в поле  отправитель подставляется почта, но потом решил посмотреть логи почты. 

Само письмо:

Цитата

Return-path:  <[email protected]>
Envelope-to: <[email protected]>
Delivery-date: Fri, 26 May 2017 06:43:23 +0300
Received: from [47.91.140.237] (helo=115.159.155.24)
     by 5lb.ua with esmtps (TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256)
     (Exim 4.84_2)
     (envelope-from
<[email protected]>)
     id 1dE69q-0005yo-8Z
     for 
<[email protected]>; Fri, 26 May 2017 06:43:23 +0300
Message-ID: <[email protected]>
Reply-To: "<[email protected]>" <[email protected]>
From: "<[email protected]>" <[email protected]>
To: <[email protected]>
Subject: =?utf-8?B?0JrQu9C40LXQvdGC0YHQutC40LUg0LHQsNC30YshINCj?=
     =?utf-8?B?0LfQvdCw0LnRgtC1INC/0L7QtNGA0L7QsdC90LXQtTog?=
     =?utf-8?B?c2t5cGU6IHByb2Rhd2V6MzkwIEVtYWlsOiBwcm9kYXdl?=
     =?utf-8?B?ejM5M0BnbWFpbC5jb20gU2t5cGU6IHByb2Rhd2V6Mzkw?=
     =?utf-8?B?INCi0LXQuzogKzc5MTM5MjMwMzMwIFdoYXRzYXBwOiAr?=
     =?utf-8?B?NzkxMzkyMzAzMzAgVmliZXI6ICArNzkxMzkyMzAzMzAg?=
     =?utf-8?B?VGVsZWdyYW06ICArNzkxMzkyMzAzMzA=?=

Date: Fri, 26 May 2017 10:42:41 +0700
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8";
Content-Transfer-Encoding: base64
X-Confirm-Reading-To: [email protected]
Confirm-Reading-To: [email protected]
Disposition-Notification-To: [email protected]

 

В логах exim такая запись:

Цитата

2017-05-26 06:43:12 no host name found for IP address 47.91.140.237
2017-05-26 06:43:23 1dE69q-0005yo-8Z <= [email protected] H=(115.159.155.24) [47.91.140.237] P=esmtps X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 S=1729 [email protected] from <[email protected]> for [email protected]
2017-05-26 06:43:23 1dE69q-0005yo-8Z => shop ([email protected]) <[email protected]> R=procmail T=procmail_pipe
2017-05-26 06:43:23 1dE69q-0005yo-8Z gmail-smtp-in.l.google.com [2a00:1450:4010:c03::1a] Network is unreachable
2017-05-26 06:43:24 1dE69q-0005yo-8Z => [email protected] <[email protected]> R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [64.233.163.27] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain View,O=Google Inc,CN=mx.google.com" C="250 2.0.0 OK 1495770204 r10si5899589ljd.156 - gsmtp"
2017-05-26 06:43:24 1dE69q-0005yo-8Z Completed

 

Судя по логам - письмо отправлено через smtp? Я верно понимаю?

И как они могли подобрать пароль к почтовику, там набор буквенно-символьный в 10шт. 

Надіслати
Поділитися на інших сайтах


Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

Надіслати
Поділитися на інших сайтах


2 часа назад, MrDio сказал:

Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

Ну у меня вряд ли так. Так как отправка почты в магазине настроена через Sendmail, и соответственно из контактов она также отправлялись бы. По своим логам я вижу, что именно это письмо отправлено через smtp, тогда как в логах Sendmail в это в время записей нет. 

Так и есть, проверил, письмо из контактов отправляется через sendmail.

Змінено користувачем trialon77
Надіслати
Поділитися на інших сайтах


Ну, это спам. Вылезли в поиске, стали ходить спам-роботы и самбитить форму. Можно поставить капчу (например от гугла - http://www.google.com/recaptcha/intro/), а можно настроить фильтрацию в почте. 

Надіслати
Поділитися на інших сайтах


По моей ситуации - точно не через контактную форму, так как там стоит каптча, даже если бы через нее - то в логах exim было бы указано, что отправка через sendmail, но там как раз указано, что отправка через смтп. 

Думал может сервак взломали, но как они узнали пароль от смтп? Ведь он в явном виде не указывается нигде.

 

Остается только подбор, но как подобрали 10ти значный пароль вида: fg7njeRj8g - тоже не пойму. 

Поставил на vps fail2ban - после этого таких писем не было.

Надіслати
Поділитися на інших сайтах


  • 3 weeks later...

Понял причину проблемы. Гугл рулит. 

Оказывается, при дефолтной настройке exim можно подключится к серверу через телнет и отправить письмо без аутинтификации самому себе, то есть с адреса [email protected] на [email protected]

Кто разбирается в конфигах ексима, можно ли как то запретить отрпавку на локальные адреса без аутинтификации? 

Конфиг ексима во вложении.

exim4.conf.template

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.