forum.opennet.ru - "Из каких скриптов отравляется почта?" (17)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Из каких скриптов отравляется почта?"

Форум Открытые системы на сервере (Почта)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Из каких скриптов отравляется почта?"	–2 +/–
Сообщение от Settler (ok) on 18-Сен-16, 17:23
Проблема в том что с сервера идет спам (исходящие письма), время от времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. Пароли все поменены. Но это не решает проблемы. 1) Мне в идеале нужно бы некий список - из каких скриптов были отправлены письма (с указание пути файла). Если такое возможно? 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). В идеале с подтверждением отправки, что то вроде модерацией - если такое возможно. Подскажите пожалуйста какие есть варианты?
Ответить \| Правка \| Cообщить модератору

Оглавление

Из каких скриптов отравляется почта?, bagas, 17:33 , 18-Сен-16, (1) +2

Из каких скриптов отравляется почта?, ALex_hha, 12:50 , 19-Сен-16, (4) –1

Из каких скриптов отравляется почта?, Pahanivo, 20:02 , 19-Сен-16, (6) +1

Из каких скриптов отравляется почта?, ALex_hha, 00:37 , 20-Сен-16, (8) +1

Из каких скриптов отравляется почта?, Pahanivo, 21:32 , 20-Сен-16, (9)

Из каких скриптов отравляется почта?, Филимон Воскресный, 22:34 , 18-Сен-16, (2) –1

Из каких скриптов отравляется почта?, ALex_hha, 12:45 , 19-Сен-16, (3) +1

Из каких скриптов отравляется почта?, Филимон Дуется, 18:54 , 19-Сен-16, (5) –1
Из каких скриптов отравляется почта?, Settler, 12:01 , 22-Сен-16, (15)

Из каких скриптов отравляется почта?, PJ, 22:41 , 19-Сен-16, (7)

Из каких скриптов отравляется почта?, ALex_hha, 23:25 , 20-Сен-16, (10)

Из каких скриптов отравляется почта?, ыы, 12:04 , 21-Сен-16, (11)

Из каких скриптов отравляется почта?, ALex_hha, 18:17 , 21-Сен-16, (12)

Из каких скриптов отравляется почта?, ыы, 08:30 , 22-Сен-16, (13) –1

Из каких скриптов отравляется почта?, ALex_hha, 10:56 , 22-Сен-16, (14)

Из каких скриптов отравляется почта?, ыы, 15:44 , 22-Сен-16, (16)

Из каких скриптов отравляется почта?, ALex_hha, 18:27 , 22-Сен-16, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "Из каких скриптов отравляется почта?" +2 +/–

Сообщение от bagas (ok) on 18-Сен-16, 17:33

> Проблема в том что с сервера идет спам (исходящие письма), время от
> времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю.
> Пароли все поменены. Но это не решает проблемы.
> 1) Мне в идеале нужно бы некий список - из каких скриптов
> были отправлены письма (с указание пути файла). Если такое возможно?
> 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через
> вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет).
> В идеале с подтверждением отправки, что то вроде модерацией - если
> такое возможно.
> Подскажите пожалуйста какие есть варианты?
Найми админа!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Из каких скриптов отравляется почта?" –1 +/–

Сообщение от ALex_hha (ok) on 19-Сен-16, 12:50

> Найми админа!
с таким успехом можно закрыть opennet и на главной написать - "Если у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, с надписью - "Если у вас есть вопросы - наймите программиста" :facepalm:

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Из каких скриптов отравляется почта?" +1 +/–

Сообщение от Pahanivo (ok) on 19-Сен-16, 20:02

> с таким успехом можно закрыть opennet и на главной написать - "Если
> у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть,
> с надписью - "Если у вас есть вопросы - наймите программиста"
> :facepalm:
Есть некий уровень познаний матчасти, если человек его имеет - есть смысл отвечать. Если его нет, а судя по уровню вопроса его нет - то и смысла нет. Иначе придется рассказать про что такое дырки в биплатных CMS, что такое апач и как настраивать и читать его логи, где лежит php.ini и что есть смысел почитать хотябы его комменты по поводу директив, и т.д. и т.п.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Из каких скриптов отравляется почта?" +1 +/–

Сообщение от ALex_hha (ok) on 20-Сен-16, 00:37

>> с таким успехом можно закрыть opennet и на главной написать - "Если
>> у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть,
>> с надписью - "Если у вас есть вопросы - наймите программиста"
>> :facepalm:
> Есть некий уровень познаний матчасти, если человек его имеет - есть смысл
> отвечать. Если его нет, а судя по уровню вопроса его нет
> - то и смысла нет.
вы видели вопросы на SO у которых больше всего рейтинг? Вы не поверите, самые базовые и простые вопросы ;) А на реально сложный и узкоспецифический вопрос там врядли ответят (по крайней мере из личного опыта)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Из каких скриптов отравляется почта?" +/–

Сообщение от Pahanivo (ok) on 20-Сен-16, 21:32

>>> с таким успехом можно закрыть opennet и на главной написать - "Если
>>> у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть,
>>> с надписью - "Если у вас есть вопросы - наймите программиста"
>>> :facepalm:
>> Есть некий уровень познаний матчасти, если человек его имеет - есть смысл
>> отвечать. Если его нет, а судя по уровню вопроса его нет
>> - то и смысла нет.
>  SO
wwtf?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Из каких скриптов отравляется почта?" –1 +/–

Сообщение от Филимон Воскресный on 18-Сен-16, 22:34

> Подскажите пожалуйста какие есть варианты?
1) Есть патч для php, который заставляет его добавлять имя скрипта во все отправляемые письма
https://choon.net/php-mail-header.php
2) В постфиксе есть ключ конфигурации always_bcc = имя ящика - будет пересылаться копия всей почты туда

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Из каких скриптов отравляется почта?" +1 +/–

Сообщение от ALex_hha (ok) on 19-Сен-16, 12:45

> 1) Есть патч для php, который заставляет его добавлять имя скрипта во
> все отправляемые письма
а что, использовать mail.add_x_header в php.ini уже не модно?
mail.add_x_header
Add X-PHP-Originating-Script: that will include uid of the script followed by the filename

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Из каких скриптов отравляется почта?" –1 +/–

Сообщение от Филимон Дуется on 19-Сен-16, 18:54

> а что, использовать mail.add_x_header в php.ini уже не модно?
не ругай меня! я когда пхп использовал, ещё патч был - помог чем смог

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Из каких скриптов отравляется почта?" +/–

Сообщение от Settler (ok) on 22-Сен-16, 12:01

> а что, использовать mail.add_x_header в php.ini уже не модно?
> mail.add_x_header
> Add X-PHP-Originating-Script: that will include uid of the script followed by the
> filename
Спасибо, вот это помогло!
mail.add_x_header = On
mail.log = /var/log/php.mail.log
И в отдельный файл что бы не мешалось в кучу.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Из каких скриптов отравляется почта?" +/–

Сообщение от PJ (ok) on 19-Сен-16, 22:41

> Проблема в том что с сервера идет спам (исходящие письма), время от
> времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю.
> Пароли все поменены. Но это не решает проблемы.
> 1) Мне в идеале нужно бы некий список - из каких скриптов
> были отправлены письма (с указание пути файла). Если такое возможно?
> 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через
> вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет).
> В идеале с подтверждением отправки, что то вроде модерацией - если
> такое возможно.
> Подскажите пожалуйста какие есть варианты?
Покажите хотя бы фрагмент maillog с сеансом отправки - возможно, вам "залили" php-shell, в этом случае mail.add_x_header не поможет.
Как уже советовали выше, перехватите письма с помощью always_bcc и посмотрите в них заголовок X-Mailer. Узнаете, с помощью чего письмо сделано.
Сервер на malware проверили с помощью LMD?
Проанализируйте maillog на периодичность рассылки - как часто она происходит? Раз в час, раз в 2 часа, случайным образом? Если вычислили периодичность рассылки - изготовьте "засаду" в виде iftop, lsof, netstat, дождитесь начала рассылки и проанализируйте установленные соединения в это время
Посмотрите логи веб-сервера на предмет команд POST, завершившихся с кодом 200. Посмотрите, к каким файлам при этом было обращение. Это могут быть любые файлы, не обязательно .php. Проверьте права доступа на эти файлы.
Почитайте, что такое php obfuscated malware code - возможно, оно у вас где-то прячется - LMD зачастую такое не обнаруживает

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Из каких скриптов отравляется почта?" +/–

Сообщение от ALex_hha (ok) on 20-Сен-16, 23:25

> Как уже советовали выше, перехватите письма с помощью always_bcc и посмотрите в
> них заголовок X-Mailer. Узнаете, с помощью чего письмо сделано.
использовать для этого always_bcc нет никакой необходимости

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Из каких скриптов отравляется почта?" +/–

Сообщение от ыы on 21-Сен-16, 12:04

> Проблема в том что с сервера идет спам (исходящие письма), время от
> времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю.
> Пароли все поменены. Но это не решает проблемы.
> 1) Мне в идеале нужно бы некий список - из каких скриптов
> были отправлены письма (с указание пути файла). Если такое возможно?
> 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через
> вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет).
> В идеале с подтверждением отправки, что то вроде модерацией - если
> такое возможно.
> Подскажите пожалуйста какие есть варианты?
tcpdump по smtp порту.
netstat -anpc|grep :25

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Из каких скриптов отравляется почта?" +/–

Сообщение от ALex_hha (ok) on 21-Сен-16, 18:17

> tcpdump по smtp порту.
> netstat -anpc|grep :25
и как это поможет в данном случае? o_O

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Из каких скриптов отравляется почта?" –1 +/–

Сообщение от ыы on 22-Сен-16, 08:30

>> tcpdump по smtp порту.
>> netstat -anpc|grep :25
> и как это поможет в данном случае? o_O
tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера
netstat -anpc|grep :25  - получить pid и имя программы которая производит рассылку.
получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой или подключится к процессу отладчиком.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Из каких скриптов отравляется почта?" +/–

Сообщение от ALex_hha (ok) on 22-Сен-16, 10:56

> tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера
Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно, по логам postfix вы никогда не поймете, с какого скрипта идет отправка. Для этого специально придумали mail.add_x_header
> netstat -anpc|grep :25  - получить pid и имя программы которая производит рассылку.
ну получите вы pid postfix, а дальше что?
> получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой
> или подключится к процессу отладчиком.
какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf)
http://risovach.ru/upload/2013/02/mem/dzheki-chan_10244806_b...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Из каких скриптов отравляется почта?" +/–

Сообщение от ыы on 22-Сен-16, 15:44

>> tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера
> Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно,
> по логам postfix вы никогда не поймете, с какого скрипта идет
> отправка. Для этого специально придумали mail.add_x_header
а заголовка чтобы отправить всем получателям спам рассылки и свой  /etc/passwd заодно, еще не придумали?
>> netstat -anpc|grep :25  - получить pid и имя программы которая производит рассылку.
> ну получите вы pid postfix, а дальше что?
а почему вы уверены что именно постфикс? потому что так утверждает человек спрашивающий совета? или потому что иной вариант просто не пришел в голову? с таким же успехом почту может рассылать и скрипт напрямую..
>> получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой
>> или подключится к процессу отладчиком.
> какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf)
так вы точно знаете механизм? ваш троян чтоли?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Из каких скриптов отравляется почта?" +/–

Сообщение от ALex_hha (ok) on 22-Сен-16, 18:27

> а почему вы уверены что именно постфикс? потому что так утверждает человек
> спрашивающий совета? или потому что иной вариант просто не пришел в
> голову? с таким же успехом почту может рассылать и скрипт напрямую..
в контексте php не важно какой MTA будет, см ниже.
>>> получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой
>>> или подключится к процессу отладчиком.
>> какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf)
> так вы точно знаете механизм? ваш троян чтоли?
я просто посмотрел реализацию mail в php ;)
https://github.com/php/php-src/blob/master/ext/standard/mail.c

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Из каких скриптов отравляется почта?"	+2 +/–
Сообщение от bagas (ok) on 18-Сен-16, 17:33
> Проблема в том что с сервера идет спам (исходящие письма), время от > времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. > Пароли все поменены. Но это не решает проблемы. > 1) Мне в идеале нужно бы некий список - из каких скриптов > были отправлены письма (с указание пути файла). Если такое возможно? > 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через > вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). > В идеале с подтверждением отправки, что то вроде модерацией - если > такое возможно. > Подскажите пожалуйста какие есть варианты? Найми админа!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Из каких скриптов отравляется почта?"	–1 +/–
	Сообщение от ALex_hha (ok) on 19-Сен-16, 12:50
	> Найми админа! с таким успехом можно закрыть opennet и на главной написать - "Если у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, с надписью - "Если у вас есть вопросы - наймите программиста" :facepalm:
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "Из каких скриптов отравляется почта?"	+1 +/–
	Сообщение от Pahanivo (ok) on 19-Сен-16, 20:02
	> с таким успехом можно закрыть opennet и на главной написать - "Если > у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, > с надписью - "Если у вас есть вопросы - наймите программиста" > :facepalm: Есть некий уровень познаний матчасти, если человек его имеет - есть смысл отвечать. Если его нет, а судя по уровню вопроса его нет - то и смысла нет. Иначе придется рассказать про что такое дырки в биплатных CMS, что такое апач и как настраивать и читать его логи, где лежит php.ini и что есть смысел почитать хотябы его комменты по поводу директив, и т.д. и т.п.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "Из каких скриптов отравляется почта?"	+1 +/–
	Сообщение от ALex_hha (ok) on 20-Сен-16, 00:37
	>> с таким успехом можно закрыть opennet и на главной написать - "Если >> у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, >> с надписью - "Если у вас есть вопросы - наймите программиста" >> :facepalm: > Есть некий уровень познаний матчасти, если человек его имеет - есть смысл > отвечать. Если его нет, а судя по уровню вопроса его нет > - то и смысла нет. вы видели вопросы на SO у которых больше всего рейтинг? Вы не поверите, самые базовые и простые вопросы ;) А на реально сложный и узкоспецифический вопрос там врядли ответят (по крайней мере из личного опыта)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от Pahanivo (ok) on 20-Сен-16, 21:32
	>>> с таким успехом можно закрыть opennet и на главной написать - "Если >>> у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, >>> с надписью - "Если у вас есть вопросы - наймите программиста" >>> :facepalm: >> Есть некий уровень познаний матчасти, если человек его имеет - есть смысл >> отвечать. Если его нет, а судя по уровню вопроса его нет >> - то и смысла нет. > SO wwtf?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

2. "Из каких скриптов отравляется почта?"	–1 +/–
Сообщение от Филимон Воскресный on 18-Сен-16, 22:34
> Подскажите пожалуйста какие есть варианты? 1) Есть патч для php, который заставляет его добавлять имя скрипта во все отправляемые письма https://choon.net/php-mail-header.php 2) В постфиксе есть ключ конфигурации always_bcc = имя ящика - будет пересылаться копия всей почты туда
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Из каких скриптов отравляется почта?"	+1 +/–
	Сообщение от ALex_hha (ok) on 19-Сен-16, 12:45
	> 1) Есть патч для php, который заставляет его добавлять имя скрипта во > все отправляемые письма а что, использовать mail.add_x_header в php.ini уже не модно? mail.add_x_header Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Из каких скриптов отравляется почта?"	–1 +/–
	Сообщение от Филимон Дуется on 19-Сен-16, 18:54
	> а что, использовать mail.add_x_header в php.ini уже не модно? не ругай меня! я когда пхп использовал, ещё патч был - помог чем смог
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	15. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от Settler (ok) on 22-Сен-16, 12:01
	> а что, использовать mail.add_x_header в php.ini уже не модно? > mail.add_x_header > Add X-PHP-Originating-Script: that will include uid of the script followed by the > filename Спасибо, вот это помогло! mail.add_x_header = On mail.log = /var/log/php.mail.log И в отдельный файл что бы не мешалось в кучу.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

7. "Из каких скриптов отравляется почта?"	+/–
Сообщение от PJ (ok) on 19-Сен-16, 22:41
> Проблема в том что с сервера идет спам (исходящие письма), время от > времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. > Пароли все поменены. Но это не решает проблемы. > 1) Мне в идеале нужно бы некий список - из каких скриптов > были отправлены письма (с указание пути файла). Если такое возможно? > 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через > вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). > В идеале с подтверждением отправки, что то вроде модерацией - если > такое возможно. > Подскажите пожалуйста какие есть варианты? Покажите хотя бы фрагмент maillog с сеансом отправки - возможно, вам "залили" php-shell, в этом случае mail.add_x_header не поможет. Как уже советовали выше, перехватите письма с помощью always_bcc и посмотрите в них заголовок X-Mailer. Узнаете, с помощью чего письмо сделано. Сервер на malware проверили с помощью LMD? Проанализируйте maillog на периодичность рассылки - как часто она происходит? Раз в час, раз в 2 часа, случайным образом? Если вычислили периодичность рассылки - изготовьте "засаду" в виде iftop, lsof, netstat, дождитесь начала рассылки и проанализируйте установленные соединения в это время Посмотрите логи веб-сервера на предмет команд POST, завершившихся с кодом 200. Посмотрите, к каким файлам при этом было обращение. Это могут быть любые файлы, не обязательно .php. Проверьте права доступа на эти файлы. Почитайте, что такое php obfuscated malware code - возможно, оно у вас где-то прячется - LMD зачастую такое не обнаруживает
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от ALex_hha (ok) on 20-Сен-16, 23:25
	> Как уже советовали выше, перехватите письма с помощью always_bcc и посмотрите в > них заголовок X-Mailer. Узнаете, с помощью чего письмо сделано. использовать для этого always_bcc нет никакой необходимости
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

11. "Из каких скриптов отравляется почта?"	+/–
Сообщение от ыы on 21-Сен-16, 12:04
> Проблема в том что с сервера идет спам (исходящие письма), время от > времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. > Пароли все поменены. Но это не решает проблемы. > 1) Мне в идеале нужно бы некий список - из каких скриптов > были отправлены письма (с указание пути файла). Если такое возможно? > 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через > вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). > В идеале с подтверждением отправки, что то вроде модерацией - если > такое возможно. > Подскажите пожалуйста какие есть варианты? tcpdump по smtp порту. netstat -anpc\|grep :25
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от ALex_hha (ok) on 21-Сен-16, 18:17
	> tcpdump по smtp порту. > netstat -anpc\|grep :25 и как это поможет в данном случае? o_O
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Из каких скриптов отравляется почта?"	–1 +/–
	Сообщение от ыы on 22-Сен-16, 08:30
	>> tcpdump по smtp порту. >> netstat -anpc\|grep :25 > и как это поможет в данном случае? o_O tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера netstat -anpc\|grep :25 - получить pid и имя программы которая производит рассылку. получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой или подключится к процессу отладчиком.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от ALex_hha (ok) on 22-Сен-16, 10:56
	> tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно, по логам postfix вы никогда не поймете, с какого скрипта идет отправка. Для этого специально придумали mail.add_x_header > netstat -anpc\|grep :25 - получить pid и имя программы которая производит рассылку. ну получите вы pid postfix, а дальше что? > получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой > или подключится к процессу отладчиком. какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf) http://risovach.ru/upload/2013/02/mem/dzheki-chan_10244806_b...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от ыы on 22-Сен-16, 15:44
	>> tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера > Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно, > по логам postfix вы никогда не поймете, с какого скрипта идет > отправка. Для этого специально придумали mail.add_x_header а заголовка чтобы отправить всем получателям спам рассылки и свой /etc/passwd заодно, еще не придумали? >> netstat -anpc\|grep :25 - получить pid и имя программы которая производит рассылку. > ну получите вы pid postfix, а дальше что? а почему вы уверены что именно постфикс? потому что так утверждает человек спрашивающий совета? или потому что иной вариант просто не пришел в голову? с таким же успехом почту может рассылать и скрипт напрямую.. >> получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой >> или подключится к процессу отладчиком. > какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf) так вы точно знаете механизм? ваш троян чтоли?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	17. "Из каких скриптов отравляется почта?"	+/–
	Сообщение от ALex_hha (ok) on 22-Сен-16, 18:27
	> а почему вы уверены что именно постфикс? потому что так утверждает человек > спрашивающий совета? или потому что иной вариант просто не пришел в > голову? с таким же успехом почту может рассылать и скрипт напрямую.. в контексте php не важно какой MTA будет, см ниже. >>> получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой >>> или подключится к процессу отладчиком. >> какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf) > так вы точно знаете механизм? ваш троян чтоли? я просто посмотрел реализацию mail в php ;) https://github.com/php/php-src/blob/master/ext/standard/mail.c
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору