[ dendic @ 12.12.2014. 21:14 ] @
na web serveru sa 10-tak stranica imam velik spam tj. ogroman queue na mailq se vidi.stavili me na BLZaustavio sam privremeno postfixa.Kako cu nac od ip adresu sendera koji je pri nekoj od ovih web stranica.mail.log pregled pojedinih ID od mailova.neki oblik netstat komande.sta je najlakse?
[ Aleksandar Đokić @ 12.12.2014. 21:59 ] @
Brisanje spama rucno je sizifov posao. Nadji neko bolje resenje.

Inace jel to exim?
[ agvozden @ 13.12.2014. 09:55 ] @
u hederu mejla postoji ip racunara koji je poslao. ako je sa formi stranica onda IP adresu trazis u http logovima.

ne mora da znaci da su to mejlovi koje neko salje, moguce je da si primio hrpu mejlova, a da server pokusava da odgovori - mailer daemon

Masovno brisanje mozes uraditi brisanjem stavki iz npr /var/spool/postfix/defer rm -r [0-F]/*

Ako se salje sa nekih konkakt formi, postavi captcha zastitu i validaciju podataka.
[ Aleksandar Đokić @ 13.12.2014. 11:24 ] @
Sad vidim da pise Postfix.

Ako salju skripte sa virtual host-ova mozes da dodas u konfiguraciji da doda u hederu koji je naziv fajla tj skripte koja salje.
[ agvozden @ 13.12.2014. 11:57 ] @
@Aleksandar Đokić mislim da postfix nema takvu opciju, to može u konfiguraciji programskih jezika koji šalju, npr PHP ima add_x_header
[ Aleksandar Đokić @ 13.12.2014. 16:14 ] @
Tako je, u konfiguaciji PHP-a, ne Postfix-a :), nisam bio precizan.
[ dendic @ 13.12.2014. 18:24 ] @
evo pregledam jedan mail iz spool/active i primjetim da je UID 33 tj. www-data je izvor jel tako. Kako cu sada prepoznati jel imam spam u nekom php file na nekoj od www stranica na serveru.Mogu li neki pojam iz sadrzaja ovog maila traziti u virtuals#grep -R "stringxxx" . pa da mogu zakljuciti koja www stranica mi je zarazena?
[ tarla @ 13.12.2014. 23:06 ] @
- pogledaš sadržaj maila
- pogledaš apache logove i vidiš šta se dešavalo u vrijeme kada su mailovi napravljeni
- pogledaš maillog log i vidiš ko je slao, kada, sa kojim username-om, sa koje IP adrese, ...

Ne postoji FixIt dugme. Samo ne briši queue dok ne pokupiš tragove... Radije ugasi postfix dok radiš analizu nego da obrišeš dokaze...
[ dendic @ 14.12.2014. 10:50 ] @
U headeru maila nadjem uid=33 i da je vezan uz neki template.php .Kad skeniram sve www taj mi se template.php spominje na dosta stranica.Šta sad,neka verzija spamassasina bi to riješila?
[ agvozden @ 14.12.2014. 12:27 ] @
ne resava to spamassasin, on sluzi samo za dolaznu postu

moracas da vidis sa onim ko je pisao skripte, na shared hostingu to obicno resavaju suspenzijom naloga dok se ne ispravi.
Dodatno, to mozes da ublazis smtp autentifikacijom (webmaster), captcha kodovima u skripti (ako je tvoja skripta) i limitiranjem broja mejlova po satu, firewall linijom za odredjeni ip opseg i slicno.

ako si ubacio skriptu u header mejla, onda trebas da imas punu putanju. Moraces malo da nam konkretizujes ovo, mnogo nabadamo, a verovatno postoji konkretno resenje.
[ tarla @ 14.12.2014. 13:03 ] @
rm -fr /var/www/joomla.com
[ dendic @ 15.12.2014. 09:47 ] @
Imam dosta zarazenih php scripti na www stranicama.Šta mi je raditi.Mogu li tim svim scriptama promjeniti ime sa npr. start.php u start.php.zarazen ili kojim bi programom mogao preskanirati i očistiti stari Lenny sistem?
[ agvozden @ 15.12.2014. 11:30 ] @
najlakši način je da vratiš sumnjive fajlove iz bekapa, iz perioda kada nisu bili zaraženi.
[ dendic @ 15.12.2014. 21:07 ] @
rename fileova bi pomoglo?hoce li stranice ostat funkcionalne.ne razumijem se u pisanje stranica
[ vladared @ 15.12.2014. 22:17 ] @
Zavisi od samog koda i skripti. Ako neko spolja okida skripte, dovoljno je da ti izlista sadržaj dira i videće šta si radio. Moj predlog je, kao što ti je već neko preporučio da skloniš skroz zaraženi sajt negde gde bi ga eventualno analizirao, ali nikako da bude vidljiv spolja ( ili ta jednostavno obrišeš ako ti ne treba) i vratiš iz backupa ispravnu verziju sajta...
[ Nemke_BG @ 18.12.2014. 11:07 ] @
I obavezno uradi analizu zarazenih stranica, jer ce backup koji vratis i dalje imati istu rupu, pa ce se desiti opet isto.
[ dendic @ 18.12.2014. 11:44 ] @
Ne reče mi niko šta od nekakvog anti spam softvera se preporučuje nabacit na server u ovakvim slučajevima?
[ agvozden @ 18.12.2014. 12:06 ] @
rekoh ti, antispam softver sluzi za dolaznu postu
za domicijalnu proveru se koriste alati na nivou programskog jezika (captcha, blek list...), delimicno serverskim limitima (limit slanja, firewall...)
[ Sleepless_mind @ 18.12.2014. 12:26 ] @
Neke stvari za pocetak, postaviti malware detect, zatim iskenirati sistem.
Dosta tih malware skripti pronadje i ukloni.
Zabraniti u php.ini kriticne funkcije, koje se ne koriste cesto. (disable_functions direktiva), postaviti open_basedir direktivu ispravno.
Instalirati mod_security i primeniti OWASP Core rule set

Srediti postfix config da prihvata samo authenticated senders, hint moze da bude ovde.

Ja bih tako nesto za pocetak uradio.

Spamassassin moze da skenira i odlazni mail, ali je to neprakticno, jer ce da postavi tag, ukoliko je spam, ali ce da isporuci na adresu. (mnogo false positives)