Вопрос: |
Здравствуйте. Пришло сообщение: На ваш сайт поступила жалоба на спам. Мы вынужденны приостановить работу вашего сервера до решения проблемы со спамом.На какой сайт и от кого жалоба? на сервере несколько сайтов... |
Вопрос: |
*.* есть сайт, но ящика *.*.* нет...в любом случае мы не занимаемся спам рассылками, если вирус, то надо смотреть, но я даже в панель не могу попасть.. |
Ответ: |
мы проверяем ваш сервер и по окончанию проверки предоставим отчет, но повтораня жалоба поданной проблеме от дата центра недопустима |
Вопрос: |
Надо посмотреть в настройках почтовика, может неавторизированная отправка стоит... |
Вопрос: |
Я думал, что уже по преднастройке почтовый сервер защищен от спама и даже не смотрел его настройку.. |
Ответ: |
не совсем понятно о какой защитеот спама идет речь. отсылать могли через ваш сайт |
Вопрос: |
Обычно у почтовых серверов стоит настройка (например у * = ***.*.*.*/* [::*:***.*.*.*]/*** [::*]/***), которая поволяет отправлять через ** порт с локалхоста сообщения без авторизации...может и через сайт, конечно. |
Ответ: |
со взломаных сайтов отправляют просто через php mail |
Вопрос: |
может тогда отключить php*mail через * отправлять.. |
Вопрос: |
Всмысле отправлять письма, а не спам)) |
Ответ: |
если Вас устроит отключение php mail то мы сделаем это. но если сайт взломан то могут разместить фишинг страницу |
Вопрос: |
надо посмотреть, как на сайтах настроена отправка писем...может phpmailer обновить для начала? там какая-то уязвимость вроде была в декабре **го года.. |
Вопрос: |
Ну и вообще ПО сайтов обновить |
Ответ: |
мы сканируем сайты. отчеты будут в папке /var/www |
Вопрос: |
ок, сегодня успеет сканирование завершиться, как думаете? |
Ответ: |
сканирование уже закончено отчеты в папке /var/www |
Ответ: |
мы закачали ихъ в /var/www/odin/data/scanlogs можете скачать по ftp как пользователь odin |
Вопрос: |
Как раз первым делом уязвимость в php*mailer высвечивается Но чтобы обновить, в любом случае нужен доступ к сайтам |
Ответ: |
с какого ip вы будете работать? |
Вопрос: |
***.**.***.*** |
Вопрос: |
Во всех *.php сайтов встроенный код появился/*******/@************************.***/***************************\****.****";/*******/и подобный...сейчас удаляю |
Ответ: |
пожалуйста уделить внимание данной проблеме по максимуму. обязательно проведите обновление и смените пароли. |
Вопрос: |
ок |
Вопрос: |
оставлю права на изменение *.php и * только руту |
Ответ: |
это права *** |
Вопрос: |
ок, в курсе |
Вопрос: |
Что-то рут пароль не проходит |
Ответ: |
пароль выслан на почту |
Вопрос: |
Подчистил файлы, которые изменились в ****м году (по сканеру), сменил пароль у своего пользователя. Теперь обновлю все сайты и поменяю права на изменение *.php и * |
Ответ: |
ok
|
Вопрос: |
Но чтобы обновить сайты, их надо включить...еще хотел пока отключить функцию mail, но в ips панели не вижу в расширениях ее |
Ответ: |
функция не может быть в расширениях, это не расширение, а функция языка. она отключена в php.ini |
Вопрос: |
Точно ведь, она встроенная. Как мне сайты-то обновить? |
Ответ: |
уточниет какая проблема с обновленеим и джоступностьюсайтов? мы вам предоставили полный доступк серверу |
Вопрос: |
Вот сейчас заработали, еще ** минут назад странички не открывались.. |
Ответ: |
ok
|
Вопрос: |
А как мне потом проверить еще раз будет сайты на вредоносный код? |
Ответ: |
можно еще раз запустить сканер |
Вопрос: |
Здравствуйте. Чтобы сканер запустить надо вас просить или самому можно как-то запустить его? |
Ответ: |
вы можеет сами запустить его из консоли в папке в которую хотите что бы сохранились отчеты запустите команду php /root/scripts/ai-bolit/tools/vps_docroot.php | xargs -P * -I {} php /root/scripts/ai-bolit/ai-bolit/ai-bolit.php --mode=* --report=`pwd`/REPORT-@[email protected] --path={} |
Вопрос: |
спасибо! |
Ответ: |
ок |
Ответ: |
у вас снова вирусы ***** odin ** * ***m **** **** S **.* *.* ***:**.** /tmp/phpAkSZ*h_*kmcjrbzaj*kg*** -c /tmp/phpAkSZ*h.c **** odin ** * ***m **** **** S **.* *.* ***:**.** /tmp/phpfYyjbD_ysvh*cdgl*zu*gf* -c /tmp/phpfYyjbD.c ***** odin ** * ***m **** **** S **.* *.* **:**.** /tmp/phpJopQeq_**l***ll*t*us*lj -c /tmp/phpJopQeq.c |
Вопрос: |
Я сейчас занимаюсь очисткой, еще не все успел до конца почистить. Сейчас обновляю сайты, чтобы убрать изменения в системных файлах. Темп сейчас почищу |
Ответ: |
это ваши скрипты? |
Вопрос: |
Не знаю, сейчас обновлялся сайт и похоже, похоже опять отключили доступ, я даже посмотреть ничего не успел. Дайте все до вечера доделать. а там уже будем смотреть что вирусы а что нет |
Ответ: |
у вас есть доступ, проверьте |
Вопрос: |
Ок, прерывался че-то. Как все сделаю, еще раз попрошу вас запустить сканер и посмотрим... |
Ответ: |
да, конечно. |
Вопрос: |
Вроде все прошел, можно запускать! |
Ответ: |
скан запущен отчеты будут в /var/www |
Вопрос: |
ок |
Ответ: |
Ожидайте пожалуйста. |
Вопрос: |
Жду жду, весь день чистил и обновлял сегодня |
Вопрос: |
А какой почтовый сервер установлен у меня? |
Ответ: |
скан запущен отчеты будут в /var/www Ожидайте пожалуйста. |
Вопрос: |
Похоже *....в конфиге * разрешен релэй от локалхостhostlist*relay_from_hosts = ***.*.*.* : ***.*.*.* Я бы убрал нафиг, у меня вся почта по авторизации идет.... |
Ответ: |
вы можете убрать, сейчас exim остановлен |
Вопрос: |
я не совсем синтаксис знаю только..просто убрать ***.*.*.* : ***.*.*.* или всю строку закомментировать? |
Ответ: |
в данномслуча у вас стоит отправка через свой сервер чтособственно он и делает. натсройки верны |
Вопрос: |
Получается, что отправка писем идет без авторизации, как бы тогда сделать только с авторизацией...Отчеты глянул, еще подчистил, остались вроде только крипты модулей и системные, которые антивирус за вредоносные принял. |
Вопрос: |
|
Вопрос: |
Здравствуйте, правила добавил. Можно включать почтовик? |
Ответ: |
здравствуйте. а после сканирования уже все почищено? |
Вопрос: |
Да, там остались некоторые замечания у сканера, но это обычные файлы движков и их модулей.. |
Ответ: |
exim запущен |
Вопрос: |
спасибо, буду мониторить первое время |
Ответ: |
ok |