OpenForum RSS: Из каких скриптов отравляется почта? https://www.opennet.ru/openforum/vsluhforumID1/96672.html Проблема в том что с сервера идет спам (исходящие письма), время от времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. Пароли все поменены. Но это не решает проблемы.<br><br>1) Мне в идеале нужно бы некий список - из каких скриптов были отправлены письма (с указание пути файла). Если такое возможно?<br>2) Или как минимум какой нибудь анализатор maillog, который позволил бы через вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). В идеале с подтверждением отправки, что то вроде модерацией - если такое возможно.<br><br>Подскажите пожалуйста какие есть варианты? <br> Из каких скриптов отравляется почта? (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#17 Thu, 22 Sep 2016 15:27:52 GMT &gt; а почему вы уверены что именно постфикс? потому что так утверждает человек <br>&gt; спрашивающий совета? или потому что иной вариант просто не пришел в <br>&gt; голову? с таким же успехом почту может рассылать и скрипт напрямую.. <br><br>в контексте php не важно какой MTA будет, см ниже. <br><br>&gt;&gt;&gt; получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой <br>&gt;&gt;&gt; или подключится к процессу отладчиком.<br>&gt;&gt; какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf) <br>&gt; так вы точно знаете механизм? ваш троян чтоли?<br><br>я просто посмотрел реализацию mail в php ;)<br><br>https://github.com/php/php-src/blob/master/ext/standard/mail.c<br> Из каких скриптов отравляется почта? (ыы) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#16 Thu, 22 Sep 2016 12:44:48 GMT &gt;&gt; tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера <br>&gt; Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно, <br>&gt; по логам postfix вы никогда не поймете, с какого скрипта идет <br>&gt; отправка. Для этого специально придумали mail.add_x_header <br><br>а заголовка чтобы отправить всем получателям спам рассылки и свой /etc/passwd заодно, еще не придумали?<br><br>&gt;&gt; netstat -anpc&#124;grep :25 - получить pid и имя программы которая производит рассылку.<br>&gt; ну получите вы pid postfix, а дальше что?<br><br>а почему вы уверены что именно постфикс? потому что так утверждает человек спрашивающий совета? или потому что иной вариант просто не пришел в голову? с таким же успехом почту может рассылать и скрипт напрямую.. <br><br>&gt;&gt; получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой <br>&gt;&gt; или подключится к процессу отладчиком.<br>&gt; какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf) <br><br>так вы точно знаете механизм? ваш троян чтоли?<br><br><br> Из каких скриптов отравляется почта? (Settler) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#15 Thu, 22 Sep 2016 09:01:54 GMT &gt; а что, использовать mail.add_x_header в php.ini уже не модно?<br>&gt; mail.add_x_header <br>&gt; Add X-PHP-Originating-Script: that will include uid of the script followed by the <br>&gt; filename <br><br>Спасибо, вот это помогло!<br><br>mail.add_x_header = On<br>mail.log = /var/log/php.mail.log<br><br>И в отдельный файл что бы не мешалось в кучу.<br> Из каких скриптов отравляется почта? (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#14 Thu, 22 Sep 2016 07:56:44 GMT &gt; tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера <br><br>Суровые челябенские админы смотрят почтовые логи через tcpdump :) И все равно, по логам postfix вы никогда не поймете, с какого скрипта идет отправка. Для этого специально придумали mail.add_x_header<br><br>&gt; netstat -anpc&#124;grep :25 - получить pid и имя программы которая производит рассылку.<br><br>ну получите вы pid postfix, а дальше что?<br><br>&gt; получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой <br>&gt; или подключится к процессу отладчиком.<br><br>какие открытые файлы?! Там данные через pipe вливаются (popen+fprintf)<br><br>http://risovach.ru/upload/2013/02/mem/dzheki-chan_10244806_big_.jpg<br> Из каких скриптов отравляется почта? (ыы) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#13 Thu, 22 Sep 2016 05:30:59 GMT &gt;&gt; tcpdump по smtp порту.<br>&gt;&gt; netstat -anpc&#124;grep :25 <br>&gt; и как это поможет в данном случае? o_O <br><br>tcpdump по smtp порту. - получить текст всех писем отправленных с этого сервера<br><br>netstat -anpc&#124;grep :25 - получить pid и имя программы которая производит рассылку.<br>получив pid можно сделать lsof чтобы узнать все открытые файлы этой программой или подключится к процессу отладчиком.<br> Из каких скриптов отравляется почта? (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#12 Wed, 21 Sep 2016 15:17:30 GMT &gt; tcpdump по smtp порту.<br>&gt; netstat -anpc&#124;grep :25 <br><br>и как это поможет в данном случае? o_O<br> Из каких скриптов отравляется почта? (ыы) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#11 Wed, 21 Sep 2016 09:04:12 GMT &gt; Проблема в том что с сервера идет спам (исходящие письма), время от <br>&gt; времени появляются чужие скрипты php с логикой рассылки, которые я подчищаю. <br>&gt; Пароли все поменены. Но это не решает проблемы.<br>&gt; 1) Мне в идеале нужно бы некий список - из каких скриптов <br>&gt; были отправлены письма (с указание пути файла). Если такое возможно?<br>&gt; 2) Или как минимум какой нибудь анализатор maillog, который позволил бы через <br>&gt; вэб-интерфейс смотреть все отправленные письма через мой сервер (личного там нет). <br>&gt; В идеале с подтверждением отправки, что то вроде модерацией - если <br>&gt; такое возможно.<br>&gt; Подскажите пожалуйста какие есть варианты?<br><br>tcpdump по smtp порту.<br>netstat -anpc&#124;grep :25<br> Из каких скриптов отравляется почта? (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#10 Tue, 20 Sep 2016 20:25:32 GMT &gt; Как уже советовали выше, перехватите письма с помощью always_bcc и посмотрите в <br>&gt; них заголовок X-Mailer. Узнаете, с помощью чего письмо сделано.<br><br>использовать для этого always_bcc нет никакой необходимости<br> Из каких скриптов отравляется почта? (Pahanivo) https://www.opennet.ru/openforum/vsluhforumID1/96672.html#9 Tue, 20 Sep 2016 18:32:48 GMT &gt;&gt;&gt; с таким успехом можно закрыть opennet и на главной написать - "Если <br>&gt;&gt;&gt; у вас есть вопросы - наймите админа". Заодно и stackoverflow закрыть, <br>&gt;&gt;&gt; с надписью - "Если у вас есть вопросы - наймите программиста" <br>&gt;&gt;&gt; :facepalm: <br>&gt;&gt; Есть некий уровень познаний матчасти, если человек его имеет - есть смысл <br>&gt;&gt; отвечать. Если его нет, а судя по уровню вопроса его нет <br>&gt;&gt; - то и смысла нет.<br>&gt; SO<br><br>wwtf?<br><br><br>