Roskapostia lähtee

  • Alpine
  • Alpine hahmo Aiheen kirjoittaja
  • Poissa
  • Tulokas
  • Tulokas
Lisää
16.11.2016 16:58 #8604 : Alpine
Alpine loi aiheen: Roskapostia lähtee
Nyt kävi niin, että sivustoltani alkoi lähteä roskapostia olan takaa.

Ensin en voinut lähettää sähköpostia yahoo-osoitteisiin. Tuli vataus, että domainini on jollain mustalla listalla. Sitten yhtä-äkkä oletuspostilaatikkoon tuli kymmenkunta epäonnistuneen viestin lähetysilmoitusta. Sisältä oli roskapostia. Otin operattoriinkin yhteyttä (Int2000.net). Käskivät vaihtaa salasanat uusiin, jonka jo olin tehnytkin.

Eräänä päivänä oletuspostilaatikossa oli tuhansittain epäonnistuneen viestin välityksestä kertovaa viestiä. Palautin muutaman kuukauden vanhan varmuuskopion sivuistani, mutta sama meno jatkui myöhemmin. Lopulta otin koko sivustoni pois netistä ja tein puhtaalle Joomla-asennukselle väliaikaisen etusivun. Kohtapa alkoi taas roskaa lähteä entiseen malliin. Ilmeisesti sivuston ulkopuolinen eijulkinen kuvagalleria alkoi roskaa pommittaa. Jalbumilla tehtyyn galleriaan pääsi osoitteen tietämällä. Poistin sitten gallerian ja palautin myöhemmin vielä Joomla-sivustoni takaisin nettiin. Pari viikkoa meni ja taas tänään alkoi roskaa lähteä maailmalle.

Onkohan jotain konstia saada tuota haitaketta pois? Millään virustutkalla en mitään mistään löydä.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Lisää
17.11.2016 01:24 #8605 : quietFinn
quietFinn vastasi aiheeseen: Roskapostia lähtee
Ensiksi kannattaa tarkistaa että viestit todella lähtevät sivustolta, eikä jostain muualta vain käyttäen sähköpostiosoitettasi lähettäjän osoitteena.

Jos viestit lähtevät sivustolta pitää selvittää lähetetäänkö ne palvelimen ulkopuolelta vai palvelimelta.

Jos viestit lähetetään palvelimen ulkopuolelta ("relay") niin silloin tuohon pitäisi auttaa se että lähetykseen käytetyn sähköpostitilin salasana vaihdetaan. Jos palvelin sallii viestien lähettämisen ilman kirjautumista niin vaihda palveluntarjoajaa HETI!

Jos viestit lähetetään palvelimelta niin silloin pitää löytää se tiedosto/skripti jota lähettämiseen käytetään ja poistaa se. Ja sen jälkeen pitää mahdollisuuksien mukaan selvittää miten se on palvelimelle joutunut.

Nuo mainitseman asiat pystyy selvittämään esim. tutkimalla noita epäonnistuneen viestin lähetysilmoituksia.

netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

  • Alpine
  • Alpine hahmo Aiheen kirjoittaja
  • Poissa
  • Tulokas
  • Tulokas
Lisää
17.11.2016 12:19 #8606 : Alpine
Alpine vastasi aiheeseen: Roskapostia lähtee
Kiitti tiedoista!

Kaikkien sähköpostilaatikoiden salasanat vaihdoin jo kertaalleen aiemmin, eikä sillä ollut vaikutusta. Joomlaan oli ilmestynyt silloin aiemmin SuperUser käyttäjä nimeltään Service, tunnukseltaan joomla.user.helper.bCDe2. Tunnuksella ei ollut sähköpostiosoitetta, eikä se ollut kirjautunut lokin mukaan milloinkaan sisään. Poistin tuon tunnuksen. Voiko tuo liittyä asiaan?

Mitähän tietoja noista sähköpostin lähetysilmoituksista pitäisi katsoa? Tässä esimerkiksi yhdestä viestistä undelivered-tietoja:

Return-path: <>
Envelope-to: Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.
Delivery-date: Thu, 17 Nov 2016 12:14:32 +0200
Received: from mx12.int2000.net ([62.73.58.218]:57305)
by cpanel1.int2000.net with esmtps (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.87)
id 1c7Ji7-0007pl-DK
for Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.; Thu, 17 Nov 2016 12:14:32 +0200
Received: from Debian-exim by mailfilter1.int2000.net with local (Exim 4.86)
id 1c7Ji6-0001V7-5u
for Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.; Thu, 17 Nov 2016 12:14:26 +0200
X-Failed-Recipients: Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.
Auto-Submitted: auto-replied
From: Mail Delivery System <Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.>
To: Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.
Content-Type: multipart/report; report-type=delivery-status; boundary=1479377666-eximdsn-183273337
MIME-Version: 1.0
Subject: Mail delivery failed: returning message to sender
Message-Id: <Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.>
Date: Thu, 17 Nov 2016 12:14:26 +0200
X-Spam-Status: No, score=0.4
X-Spam-Score: 4
X-Spam-Bar: /
X-Ham-Report: Spam detection software, running on the system "cpanel1.int2000.net",
has NOT identified this incoming email as spam. The original
message has been attached to this so you can view it or label
similar future email. If you have any questions, see
root\@localhost for details.

Content preview: This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients.
This is a permanent error. The following address(es) failed: [...]

Content analysis details: (0.4 points, 5.0 required)

pts rule name description
----

-1.0 ALL_TRUSTED Passed through trusted hosts only via SMTP
0.0 HTML_MESSAGE BODY: HTML included in message
-1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1%
[score: 0.0006]
1.9 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
above 50%
[cf: 100]
0.9 RAZOR2_CHECK Listed in Razor2 ( razor.sf.net/ )
0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
[cf: 100]
X-Spam-Flag: NO

Juuri nyt on meneillään spammaus.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

  • Alpine
  • Alpine hahmo Aiheen kirjoittaja
  • Poissa
  • Tulokas
  • Tulokas
Lisää
17.11.2016 14:25 #8607 : Alpine
Alpine vastasi aiheeseen: Roskapostia lähtee
Ai niin. Sen lisäksi, että sähköpostiin tulee ilmoitus, ettei vastaanottajaa ole, niin tulee myös ajoittain sitten virheilmoitus ylittyneestä lähtevien postien määrästä tunnin sisään. "Domain ilkansivu.net has exceeded the max emails per hour (125/100 (125%)) allowed. Message discarded."

Niin, ja public_html:n juuresta löyty joskus 2 ylimääräistä tiedostoa, guy.php ja lrmvig.html. Ei ainakaan vaikuttaneet tutuilta ja poistin ne. Jälkimmäisen sisältä oli yksinkertaisuudessaan edelleenohjaus osoitteeseen webstoream.su/ . Ensimmäisen sisältöä en osannut tulkita. Oli sellainen sekamelska, ettei näillä koodarin kyvyillä päässyt puusta pitkään. Laitoin sen tähän liitteeksi .txt-tiedostoksi nimettynä.

Tässä viestissä on tiedosto liitetiedostona.
Kirjaudu sisään tai rekisteröidy nähdäksesi se.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Lisää
18.11.2016 02:44 #8608 : quietFinn
quietFinn vastasi aiheeseen: Roskapostia lähtee
Näyttää siltä että lähetys tapahtuu sivustolta, joten salasanojen muuttaminen ei auta.

Jos lähetystä tapahtuu jatkuvasti niin lokeista pitäisi näkyä millä tavalla ja mitä tiedostoa käyttämällä lähetys tapahtuu. Kun se löytyy niin tiedoston poistamalla saa lähetyksen loppumaan, mutta luultavasti sivustolla on takaportti (backdoor) jota käyttämällä spämmääjä asentaa uuden.
Täällä foorumissa on vaikea mitään parempia ohjeita antaa, luulisi palveluntarjoajaakin kiinostavan mutta eipä siltä näytä.

netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

  • Alpine
  • Alpine hahmo Aiheen kirjoittaja
  • Poissa
  • Tulokas
  • Tulokas
Lisää
18.11.2016 13:45 #8609 : Alpine
Alpine vastasi aiheeseen: Roskapostia lähtee
Kiitti vaan taas vinkeistä.

Tuntuu, ettei palveluntarjoajaa kiinnosta tosiaan tuon selvittely yhtään. Nyt on tosin kyllä webbihotelli menossa vaihtoon. Kasaan sinne puhtaalle pohjalle sivut uudelleen.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Lisää
23.11.2016 15:59 #8616 : Artio
Artio vastasi aiheeseen: Roskapostia lähtee
Hieman aihetta sivuten: osaavat myös käyttää Contacts-lomaketta, jos aktivoituna on "Send copy to Submitter" -toiminto. Tähänhän voi sitten kirjoittaa mitä tahansa osoitetta ja spammi lähtee kopio-osoitteeseen.

Artio - nopeat ja turvalliset php72-fpm -palvelut.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Valvojat: jkwebdesignGamossJiiKoo
Sivu luotiin ajassa: 0.106 sekuntia