Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Сайт спамит по-черному (https://forum.antichat.xyz/showthread.php?t=97253)

serg-php 21.12.2008 00:12
Сайт спамит по-черному
 
Уважаемые, коллеги!
На сайт проник вредоносный скрипт и спамит!

Наши действия:
- заменили пароли на аккаунт;
- узнали у хостера текст писем и заголовки;
- просмотрели скрипты на сайте и не нашли ничего подозрительного.

Вопрос! Как отловить сей спам-скрипт либо отрезок кода?

Dimi4 21.12.2008 00:30
serg-php
Посмотри аксесс, еррор логи сервера.Попробуй найти файлы. которые недавно изменялись. Если в письмах реклама сайта, попробуй написать абузу\выяснить кто владелец

serg-php 21.12.2008 01:19
Цитата:
Попробуй найти файлы. которые недавно изменялись.
Как их автоматом найти?

Абуза - глупо! Сайт смотрел - там грамотно сделано и не факт, что следующая пачка спама будет иметь ссылку на другой сайт!

Привожу текст спам-письма:


Код HTML:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=Windows-1252">
</HEAD>
<BODY><a href="http://happinessmain.com/" target="_blank">
<img src="http://happinessmain.com/shop.gif" border=0 alt="Having trouble viewing this email?
Click here to view as a webpage."></a></BODY></HTML>

serg-php 21.12.2008 14:38
Есть ли способы выявить данный скрипт?

durito 22.12.2008 13:56
уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы.

groundhog 22.12.2008 14:06
Вообще, надо логичнее подойти... Подними логи SMTP, посмотри время когда шёл спам, смотри логи апача, соответствующие этому времени. Насчёт времени изменения - не факт, что его не подправили с помощью touch. На сайте есть формы отправки чего-либо куда-либо? Смотрел скрипты, в которых используется функция mail? Они уязвимы? Ну и ещё раз - логи, логи, логи... Логи SMTP, логи Apache и т.д. Проверь кронжобы и т.д.

serg-php 22.12.2008 15:16
Цитата:
уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы

Контент слил! Лазил - тничего не нашел!

Поиск усложняется тем, что:

- основные файлы системы под зендом
- есть качаный из инета скрипт генерации саймапа,
который прошел обфускацию, но триал скрипта
не был снят, пришлочь самому доделывать
(возможно в этом вся проблема)

Крипт стоял на крон-джобе!

Сейчас - джоб и скрипт удалил!

Dimi4 22.12.2008 17:46
Если у тебя был недавний бекап сайта то можеж попробать сравнить. Слей весь текующий контент и проверь тоталкомандером на совпадение файлов.

Абуза - почему глупо? Ну разве если абузостойкий... А так пиши, приведи пример письма, обьясни ситуацию и тд. При правельно подходе сайты снимают за 3-5 дней (из собственного опыта)

serg-php 23.12.2008 00:36
Цитата:
Если у тебя был недавний бекап сайта то можеж попробать сравнить
Cайт постоянно доделывался и бекапа целенаправленного не было т.к. переехали к новому хостеру у которого все и началось!

serg-php 23.12.2008 00:37
Хостер, надежный! Просто непонятно, откуда спам!


Время: 14:08
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице