gomer777

Это значит, что взломали?

Рекомендуемые сообщения

gomer777    0

Добрый день!

Нездоровый симптом: вчера получил на свою почту администратора магазина спам со своего же магазина (того же адреса). Предчувствие нехорошее.  Ваш вердикт, и куда кидаться. Сам пока слабовато разбираюсь. 

Спасибо.

спам.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
snastik    821

Вряд ли взломали - похоже на вас просто напал спам бот

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gomer777    0

Гранд мерси!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trialon77    15

Похожая ситуация. На магазинную почту приходит спам от этой же почты. Я сперва думал, что там просто в поле  отправитель подставляется почта, но потом решил посмотреть логи почты. 

Само письмо:

Цитата

Return-path:  <shop@site.ua>
Envelope-to: <shop@site.ua>
Delivery-date: Fri, 26 May 2017 06:43:23 +0300
Received: from [47.91.140.237] (helo=115.159.155.24)
     by 5lb.ua with esmtps (TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256)
     (Exim 4.84_2)
     (envelope-from
<shop@site.ua>)
     id 1dE69q-0005yo-8Z
     for 
<shop@site.ua>; Fri, 26 May 2017 06:43:23 +0300
Message-ID: <33C97CBA0CD8F794484D04BB2F8C4BFD@site.ua>
Reply-To: "<shop@site.ua>" <vedma3837@gmail.com>
From: "<shop@site.ua>" <shop@site.ua>
To: <shop@site.ua>
Subject: =?utf-8?B?0JrQu9C40LXQvdGC0YHQutC40LUg0LHQsNC30YshINCj?=
     =?utf-8?B?0LfQvdCw0LnRgtC1INC/0L7QtNGA0L7QsdC90LXQtTog?=
     =?utf-8?B?c2t5cGU6IHByb2Rhd2V6MzkwIEVtYWlsOiBwcm9kYXdl?=
     =?utf-8?B?ejM5M0BnbWFpbC5jb20gU2t5cGU6IHByb2Rhd2V6Mzkw?=
     =?utf-8?B?INCi0LXQuzogKzc5MTM5MjMwMzMwIFdoYXRzYXBwOiAr?=
     =?utf-8?B?NzkxMzkyMzAzMzAgVmliZXI6ICArNzkxMzkyMzAzMzAg?=
     =?utf-8?B?VGVsZWdyYW06ICArNzkxMzkyMzAzMzA=?=

Date: Fri, 26 May 2017 10:42:41 +0700
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8";
Content-Transfer-Encoding: base64
X-Confirm-Reading-To: vedma3837@gmail.com
Confirm-Reading-To: vedma3837@gmail.com
Disposition-Notification-To: vedma3837@gmail.com

 

В логах exim такая запись:

Цитата

2017-05-26 06:43:12 no host name found for IP address 47.91.140.237
2017-05-26 06:43:23 1dE69q-0005yo-8Z <= shop@site.ua H=(115.159.155.24) [47.91.140.237] P=esmtps X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 S=1729 id=33C97CBA0CD8F794484D04BB2F8C4BFD@site.ua from <shop@site.ua> for shop@site.ua
2017-05-26 06:43:23 1dE69q-0005yo-8Z => shop (shop@site.ua) <shop@site.ua> R=procmail T=procmail_pipe
2017-05-26 06:43:23 1dE69q-0005yo-8Z gmail-smtp-in.l.google.com [2a00:1450:4010:c03::1a] Network is unreachable
2017-05-26 06:43:24 1dE69q-0005yo-8Z => xxxx@gmail.com <shop@site.ua> R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [64.233.163.27] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 DN="C=US,ST=California,L=Mountain View,O=Google Inc,CN=mx.google.com" C="250 2.0.0 OK 1495770204 r10si5899589ljd.156 - gsmtp"
2017-05-26 06:43:24 1dE69q-0005yo-8Z Completed

 

Судя по логам - письмо отправлено через smtp? Я верно понимаю?

И как они могли подобрать пароль к почтовику, там набор буквенно-символьный в 10шт. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MrDio    1

Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trialon77    15
2 часа назад, MrDio сказал:

Господа, мне тоже такие письма приходят на магазинную почту. Только ИМХО это просто через форму контактов вас так спамят.

У меня все руки не дойдут капчу на это форму зацепить :-))

Ну у меня вряд ли так. Так как отправка почты в магазине настроена через Sendmail, и соответственно из контактов она также отправлялись бы. По своим логам я вижу, что именно это письмо отправлено через smtp, тогда как в логах Sendmail в это в время записей нет. 

Так и есть, проверил, письмо из контактов отправляется через sendmail.

Изменено пользователем trialon77

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trialon77    15

Настроил fail2ban на vps - прикололся сколько нечисти лезет с подбором пароля и логина. В основном к ssh и exim.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kril    0

Ну, это спам. Вылезли в поиске, стали ходить спам-роботы и самбитить форму. Можно поставить капчу (например от гугла - http://www.google.com/recaptcha/intro/), а можно настроить фильтрацию в почте. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trialon77    15

По моей ситуации - точно не через контактную форму, так как там стоит каптча, даже если бы через нее - то в логах exim было бы указано, что отправка через sendmail, но там как раз указано, что отправка через смтп. 

Думал может сервак взломали, но как они узнали пароль от смтп? Ведь он в явном виде не указывается нигде.

 

Остается только подбор, но как подобрали 10ти значный пароль вида: fg7njeRj8g - тоже не пойму. 

Поставил на vps fail2ban - после этого таких писем не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
indigo0707    3

У меня весь ящик подобным спамом забит. Это норма, пускай и неприятно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trialon77    15

Понял причину проблемы. Гугл рулит. 

Оказывается, при дефолтной настройке exim можно подключится к серверу через телнет и отправить письмо без аутинтификации самому себе, то есть с адреса mail@site.ua на mail@site.ua. 

Кто разбирается в конфигах ексима, можно ли как то запретить отрпавку на локальные адреса без аутинтификации? 

Конфиг ексима во вложении.

exim4.conf.template

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу