Рассылают спам через подопечный сайт - Форум успешных вебмастеров

Maximus325 · 29.05.2009, 13:37

Сегодня клиенту заблокировали сайт за рассылку мыльного спама, а я не разбираюсь - подскажите как такое может быть? Точнее где искать дырку?
Спасибо

Цитата:

Здравствуйте,

Через Ваш сайт была массовая рассылка спама из-за чего наш сервер
попал в бек-листы.

Ваш сайт заблокирован!

29674 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.78 inbox.cgi
29683 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.53 inbox.cgi
29684 dokument 20 0 37428 5884 1212 R 0.7 0.1 0:20.72 inbox.cgi
29685 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.97 inbox.cgi
29694 dokument 20 0 37428 5896 1212 R 0.7 0.1 0:20.84 inbox.cgi
29698 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.62 inbox.cgi
29699 dokument 20 0 37428 5888 1212 R 0.7 0.1 0:21.03 inbox.cgi
29700 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.50 inbox.cgi
29710 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.69 inbox.cgi
29715 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.60 inbox.cgi
29751 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:21.10 inbox.cgi
29766 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.80 inbox.cgi
29790 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.72 inbox.cgi
29794 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.84 inbox.cgi
29810 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.39 inbox.cgi
29822 dokument 20 0 37428 5892 1212 R 0.7 0.1 0:20.52 inbox.cgi
29831 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.97 inbox.cgi
29838 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.39 inbox.cgi
29848 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.57 inbox.cgi
29871 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.86 inbox.cgi
29877 dokument 20 0 37428 5892 1212 S 0.7 0.1 0:20.60 inbox.cgi
29899 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.97 inbox.cgi
29909 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.65 inbox.cgi
29919 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.89 inbox.cgi
29921 dokument 20 0 37428 5884 1212 R 0.7 0.1 0:20.71 inbox.cgi
29935 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.78 inbox.cgi
29937 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.49 inbox.cgi
29938 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.50 inbox.cgi
29943 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.47 inbox.cgi
29945 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:21.46 inbox.cgi
29953 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.84 inbox.cgi
29960 dokument 20 0 37428 5884 1212 S 0.7 0.1 0:20.95 inbox.cgi
29962 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.64 inbox.cgi
29964 dokument 20 0 37428 5888 1212 R 0.7 0.1 0:20.86 inbox.cgi
29966 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.39 inbox.cgi
29981 dokument 20 0 37428 5888 1212 S 0.7 0.1 0:20.87 inbox.cgi

[ SpamCop V4.5.0.103 ]
This message is brief for your comfort. Please use links below for details.

Email from 194.54.81.70 / Thu, 28 May 2009 10:11:41 -0700
http://www.spamcop.net/w3m?i=z419531...49a90df7abd46z

[ Offending message ]
Delivered-To: x
Received: by 10.150.206.17 with SMTP id d17cs499823ybg;
Thu, 28 May 2009 10:11:42 -0700 (PDT)
Received: by 10.204.31.71 with SMTP id x7mr1416466bkc.2.1243530701652;
Thu, 28 May 2009 10:11:41 -0700 (PDT)
Return-Path: <[email protected]>
Received: from starfish.rx-host.net (starfish.rx-host.net [194.54.81.70])
by mx.google.com with SMTP id 27si316443fxm.21.2009.05.28.10.11.40;
Thu, 28 May 2009 10:11:41 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 194.54.81.70 as permitted sender) client-ip=194.54.81.70;
Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning [email protected] does not designate 194.54.81.70 as permitted sender) [email protected]
Received: from wezukhk (130.146.217.143)
by starfish.rx-host.net; Thu, 28 May 2009 20:11:40 +0300
Date: Thu, 28 May 2009 20:11:40 +0300
From: <[email protected]>
X-Mailer: WebMail_[fromfile src=./upload/macros1-subj.txt][random min=1 max=3 lang=lat case=num]
Reply-To: <[email protected]>
X-Priority: 2 (High)
Message-ID: <[email protected]>
To: <x>
Subject: Мужская сладость и слабость !908
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------CF839120A38"

------------CF839120A38
Content-Type: text/html; charset=windows-1251
Content-Transfer-Encoding: 8bit

myjuВот это грудь! Видео, где девушка, собственно, ее всячески демонстрирует, а потом и не только... http://geocities.com/hpfkmhomy kxna
q9fcТак и хочется облизать их с ног до головы... http://www.geocities.com/rafaeldaniel74 1be
vswЭротические фотографии красивых девушек http://geocities.com/lilianaroy57 gtq4
Очаровательная кошечка выпустила свои коготки, мальчику это понравилось
------------CF839120A38--

--
С уважением,

Maximus325 · 29.05.2009, 13:48

А, все решилось, хостинг ломанули)

lance · 29.05.2009, 14:21

Ломанули и залили DM (DirectMailer).
Чтоб не повторилось советую отрубить cgi, т.к. без него рассылка не работает.

Maximus325 · 29.05.2009, 14:44

Цитата:

Сообщение от lance

Ломанули и залили DM (DirectMailer).

Спасибо! А где искать его?

Dyachek · 29.05.2009, 17:52

По сути с хостов может спамить любой php директ-мейл скрипт.
Отключить cgi - далеко не всегда выход.

Проще следить за безопастность локального хранилища паролей (TotalCMD и локальный ПК).

Аль ты самим спамом интересуешься?

LehaKush · 29.05.2009, 18:16

А я как-то и не задумывался, что такое может быть... надо будет и свой сайт пожоще защитить...

digg · 29.05.2009, 19:17

чтоб из пхп выслать мыло стоит написать всего одну строчку
mail('[email protected]', 'the subject', 'the message', null,
'[email protected]');

~~iss~~ · 29.05.2009, 19:24

Может тебе хост ни кто и не ломал, ты просто установил какуюнибуль сомнительную PHP систему к себе на хостинг, а в ней был зашит скрип для спама, при обращении к системе она передала все данные спамеру, и все.
Спамер получил доступ к своему скрипту через твой хостинг, и спамил сколько надо.

Только не понятно куда он спамил. Майл ру например уже давно больше 50, 100 писем не принимает с таких скриптов