Как отключить спам по емаил со взломанного VPS ?

Тема в разделе "Вопросы и ответы", создана пользователем Maker, 22.04.16.

  1. Maker

    Maker Новичок

    Сообщения:
    44
    Симпатии:
    1
    Баллы:
    14
    Столкнулся с давно такой проблемой как нагрузка на сервер, заметил логи в файле mail.log, короче ктото спамит с сервера и сервак сильно нагружен, соответсвенно толку от тех сайтов что на серваке нет, как отключить функции чтобы спам не работал? паанели на серваке нет кроме бесплатной? но там никаких настроек нет значит скорее всего взломали и настроили по ssh , может кто знает какие команды для того чтобы спам сломался? погуглил и ничего не нашел по теме
     
  2. btr

    btr Участник

    Сообщения:
    150
    Симпатии:
    32
    Баллы:
    30
    ты вроде говорил на WP доры твои, вот от него и проблемы взлома =(
     
    Maker нравится это.
  3. Maker

    Maker Новичок

    Сообщения:
    44
    Симпатии:
    1
    Баллы:
    14
    наврядле, логи по доменам смотрел ненашел ничего подобного
     
  4. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    А что и как вы искали подобного? Какой-то из сайтов взломан, на 99%, залит выпечка, который гонит спам через php_mail. Прогоните хотя бы айболитом все сайты.
     
    Maker нравится это.
  5. Hvat

    Hvat Новичок

    Сообщения:
    48
    Симпатии:
    16
    Баллы:
    13
    Если на вп стоят паблик темы, то 99% зараза через них просочилась.
     
    Maker нравится это.
  6. Maker

    Maker Новичок

    Сообщения:
    44
    Симпатии:
    1
    Баллы:
    14
    Спасибо за совет, пока не могу воспользоваться айболитом, при запуске думает скрипт и выходит ошибка 504 , вроде лимиты временные увеличил все равно такая шлюпа, короче отрубил postfix и пока в логах перестал записывать. может на самом деле через бесплатный шаблон сломали но не факт, много вариантов есть это сделать. бесплатные шаблоны както тестировал, и на одном сечас стоит надо както проверить его, но в основном официальные шабы стоят.
     
  7. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Если на компе стоит десктопный антивирус, то можно архивнуть лишь файлы сайта, без БД, скачать архив на комп и натравить на него антивирус. Сейчас большинство антивирусов вполне неплохо детектят зловредов в пхп.
    Если интуиция подсказывает, что были проблемы с брутом ssh, а аутентификация по ключам, по каким-то соображениям, не используется, то самый простой вариант, имхо, это повесить fail2ban и перекинуть доступ с 22 порта куда-нить за 40000-й.
     
    Последнее редактирование: 23.04.16
    Maker нравится это.
  8. cafen

    cafen Новичок

    Сообщения:
    12
    Симпатии:
    4
    Баллы:
    8
    Logwatch еще поставить можно чтобы отчеты ежедневные на майл сбрасывал и смотреть кто систему брутил, логинился.
    Также банить IP в fail2ban на сутки надо выставить после двух попыток подбора пароля. А выковыривать вирусы из системы бывает сложно очень, если рута подломали. Легче по бекапу восстановить систему.
     
    Maker и HelgerLEE нравится это.
  9. qoqr

    qoqr Новичок

    Сообщения:
    25
    Симпатии:
    3
    Баллы:
    9
    В php.ini добавь
    disable_functions = mail
     
    Maker нравится это.

Поделиться этой страницей