Varbūt ir kāda ideja, kā izķert direct-to-mx spamskriptu uz servera? Apača logu analīze nelīdz. find -user www-data arī neko dižu neatrod. 19 atbildes
Kaspars Foigts (2013-03-27 11:32:51) |
Varbūt ir kāda ideja, kā izķert direct-to-mx spamskriptu uz servera? Apača logu analīze nelīdz. find -user www-data arī neko dižu neatrod. | ||
Master (2013-03-27 11:54:41) |
@laacz izsutita info ir viena un taa pati?ko saka maillogs. Nezinu kas Tev tur sabuvets, bet pec mailloga info ko saka greps user www? | ||
Kaspars Foigts (2013-03-27 11:56:49) |
@dj_beatmaster Maillogs jau neko nesaka, jo sūta pa taisno uz SMTP. Man ir tikai viena sample. Par līdzībām nevaru spriest. | ||
Master (2013-03-27 12:06:13) |
@laacz bet kaa izsuuta uz SMTP? ar socket connect caur php? Ja zini uz kuru SMTP bliezh, var noblokjet to iptables un monitoret error log | ||
Kaspars Foigts (2013-03-27 12:07:48) |
@dj_beatmaster Takš bliež uz visurieni :) | ||
Master (2013-03-27 12:13:51) |
@laacz pag email destination var but visur bet SMTP serveris jaizmanto,kas atlauj (hosts sava tikla utt) vai login+pass.Open SMTP nemetajas | ||
Artis Šteinbergs (2013-03-27 13:12:28) |
@laacz 1. Veelams AV scan paari failiem. 2. Meegini sim procesan dabuut PID - skaties zem /proc. 3. IeNATo izejoshaas 25/tcp konekcijas | ||
Artis Šteinbergs (2013-03-27 13:14:11) |
@laacz bet imho tev apaksha vajadzetu katram web forset sendmail komandu, lai zinaatu no kuras web lapas spams nak, ja rev tur vairaki web | ||
Kaspars Foigts (2013-03-27 13:31:03) |
@ArtisSteinbergs 1. Regulāri notiek naktī 2. Neesmu vēl izķēris, jo tad jau ar lsof varētu visu izkost. 3. Tas afektēs arī legālos epastus. | ||
Kaspars Foigts (2013-03-27 13:31:16) |
@ArtisSteinbergs Jamais sūta caur SMTP, nevis sendmail. | ||
Kaspars Foigts (2013-03-27 13:31:44) |
@dj_beatmaster Doh. Atrodam MX prasītajam domeinam un pūšam pa taisno. Kur problēma? | ||
Master (2013-03-27 14:49:30) |
@laacz tu gribi teikt ka tiem domeniem ir atveertie SMTP? Pameegjini nosuutiit mailu piemeram caur LMT SMTP izmantojot cita provaidera tiklu | ||
Kaspars Foigts (2013-03-27 14:51:37) |
@dj_beatmaster Doh. Nav runa par avērto smtp. Uz saviem domeiniem takš saņemt vari no jebkurienes pasaulē. | ||
Master (2013-03-27 15:00:46) |
@laacz tad jau tas nav smtp bet prasts mail() uz destination MTA liimenii nevis socket connect. Neapskaidrojot probl saprat nevar | ||
Kaspars Foigts (2013-03-27 15:13:21) |
@dj_beatmaster Nu, bāc. mail() iet caur lokālo MTA. To var atsekot, ka nosmird. Šeit PHP skripts pats lookupo MX un stumj caur tcp soketiem. | ||
Kaspars Foigts (2013-03-27 15:19:23) |
@dj_beatmaster Q=$(lsof -i:25 -sTCP:ESTABLISHED | grep www-data | awk '{ print $2 }' | tr ' 12' ,) && [[ -n $Q ]] && lsof -p $Q | ||
Master (2013-03-27 15:27:43) |
@laacz apmeram ko lidzigu shim arii taga biju domaajis-atraakaa vnk implementaacija lai nomonitoreetu | ||
Aivars Šterns (2013-03-27 22:57:20) |
@laacz 25 portu no www usera aizliedz, palaid vēl clamscan drošībai | ||
Kaspars Foigts (2013-03-27 23:25:49) |
@aivarssterns Clams ruņījas ik nakti, 25 portu nedrīkst klapēt ciet no www usera - izmanto. | ||
₿ Lord Kristaps Kaupe ($ is for sats) (2013-03-28 00:31:44) |
@laacz @aivarssterns Varbūt iptables LOG targets var palīdzet? Pēc laikiem tad var ko salīdzināt ar apache logiem. |