ارسال اسپم

[asemanmgh64]

سلام دوستان
سايت من در چند نوبت اسپم ارسال كرد
چندهزار دلیوری بخاطر ارسال ایمیل های نامعتبر از میل سرور من ایجاد شده
با حالت name@entezarcc.ir
که بجای name مرتبا اسامی اتفاقی قرار گرفته
چون ایمیل ها واقعی نیست، طبعا دلیوری میاد که ارسال ناموفق هست
توضیحات هاستم :
حدود 15000 عدد با این توضیحات هست:
Jul 11 08:04 entezarc@iran1.rayanegarco.com entezarc 827 B lamgithe@yahoo.com /home/entezarc/domains/entezarcc.ir/public_html/libraries/cms/version 1X5Rb9-0007JU-Rs
Jul 11 08:04 entezarc@iran1.rayanegarco.com entezarc 829 B lamgston5@yahoo.com /home/entezarc/domains/entezarcc.ir/public_html/libraries/cms/version 1X5RbA-0007JX-0O
Jul 11 08:04 entezarc@iran1.rayanegarco.com entezarc 835 B lamgupta0123@yahoo.com /home/entezarc/domains/entezarcc.ir/public_html/libraries/cms/version 1X5RbA-0007Jb-5y
. حدود 11000 عدد با این توضیحات:
Jul 22 00:49 entezarc@iran1.rayanegarco.com entezarc 827 B u168.224.160.14ian.parker@pfizer.com /home/entezarc/domains/entezarcc.ir/public_html/plugins/editors-xtd/modulesanywhere/css 1X9K3o-0004Pm-5g
Jul 22 00:49 entezarc@iran1.rayanegarco.com entezarc 835 B u168.224.160.14isabelle.faure@pfizer.com /home/entezarc/domains/entezarcc.ir/public_html/plugins/editors-xtd/modulesanywhere/css 1X9K3p-0004Q6-45
Jul 22 00:49 entezarc@iran1.rayanegarco.com entezarc 837 B u168.224.160.14keith.hutchison@pfizer.com /home/entezarc/domains/entezarcc.ir/public_html/plugins/editors-xtd/modulesanywhere/css 1X9K3p-0004

همه پسورد هارو تغيير دادم
همه اكانتهاي ايميل رو حذف كردم
تنها ايميل سيستمي دايركت ادمين مونده كه با توجه به اينكه به
:blackhole:
فوروارد كردمش، بازهم اسپم ميفرسته
سايت رو در حالت تعمير قرار دادم باز هم ارسال ادامه داره
اسم پوشه دامنه رو تغيير دادم بازهم ادامه داره
كلا اكانت ايميل رو از طريق سرور قطع كردم ولي فرقي نكرد
سطوح دسترسي رو هم ريست كردم
جوملا به روز هست
تمام فرم هاي سايت رو غير فعال كردم
سرور هم آنتي ويروس داره
بعد از چند بار قطع موقت از طرف سرور، ديگه كلا سرويسم قطع شد
بكاپ دارم ولي ميترسم مشكل تو بك آپم هم باشه
چيكار كنم ؟

[Reza Ganji]

درود
این مشکل با مشاهده هیدر چند ایمیل قابل شناسایی هست.به هاستینگ بگید ابتدا تعداد ایمیل هایی که اکانت شما میتونه ارسال کنه رو به حداقل برسونه مثلا 3تا در ساعت بعد ازشون بخواهید هیدر ایمیل ها رو بررسی کنند.در هیدر ایمیل ها اسکریپت ارسال کننده ایمیل قابل شناسایی هست و مسیرش رو میگه.
حالا این مشکل !!!:
این مشکل به دلایلی میتونه پیش بیاد،استفاده از قالب ها و افزونه های وارز که حاوی کدهای مخفی هستند و یا نفوذ هکرها و اسپمرها به سایت و آپلود اسکریپت ارسال اسپم که همه اینها و ارسال این حجم ایمیل توسط چندخط کد صورت میگیره.

[asemanmgh64]

با تشكر از شما
ديروز همين كارو كردم
به هاست گفتم ارسال ايميل هارو محدود كنه
ولي ديشب دوباره 500 ايميل ارسال شده

( محتوای خطای هاست :
The entezarc account has just finished sending 500 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/entezarc.bytes file, it was found that the highest sender was entezarc@iran1.rayanegarco.com, at 501 emails.

The top authenticated user was entezarc, at 501 emails.
This accounts for 100% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.


The most common path that the messages were sent from is /home/entezarc/domains/entezarcc.ir/public_html/plugins/editors-xtd/modulesanywhere/css, at 501 emails (100%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

This warning was generated because the 500 email threshold was hit.

)
چندروز پيش ماژول آني ور رو غير فعال كردم ولي فرقي نكرد
ممكنه مشكل از هاست باشه ؟

[Reza Ganji]

خوب این داره میگه ماژول انی ور در فایل سی اس اسش داره ایمیل ارسال میکنه.به مسیر زیر برید public_html/plugins/editors-xtd/modulesanywhere/css

فایل سی اس اس رو چک کنید.احتمالا نسخه وارز این افزونه رو استفاده کردید

[asemanmgh64]

جناب گنجي هاست ميگه بخاطر اينكه از توابع php برای ارسال ایمیل استفاده میشه اسپم ادامه داره
از بك آپ سايتم اين ماژول رو پيدا كردم ولي موقع اكستركت ، كسپر اسكاي ارور تروجان ميگيره، به احتمال قوي اين ماژول رو از سايتاي خارجي دانلود كردم
خطاي زير هم قبلا ذكر كردم، اين براي چه قسمتي هست ؟
Jul 11 08:04 entezarc@iran1.rayanegarco.com entezarc 829 B lamgston5@yahoo.com /home/entezarc/domains/entezarcc.ir/public_html/libraries/cms/version 1X5RbA-0007JX-0O

با توجه به اينكه بعد از 3 بار اخطار هاست نتونستم مشكل رو حل كنم، بايد سعي كنم همه مشكلات رو با نهايتا يك بار فعالسازي ديگه رفع كنم

---

كل بك آپ سايت رو اكستركت كردم
از چند فايل خطا گرفت
ميشه بفرمائيد كدومشون جدي هست ؟
sptab.js Packed: JSPack root\modules\mod_sptab\assets\js\
default.php Deleted: HEUR:Trojan.Script.Generic root\modules\mod_plimunnivoslider\tmpl\
default.php Backed up: HEUR:Trojan.Script.Generic root\modules\mod_plimunnivoslider\tmpl\
CaviarDreams_Bold-webfont.eot Packed: EOT root\modules\mod_plimunnivoslider\fonts\Caviar-Dreams-fontfacekit\
BebasNeue-webfont.eot Packed: EOT root\modules\mod_plimunnivoslider\fonts\bebas-neue-fontfacekit\
Lilly__-webfont.eot Packed: EOT root\modules\mod_plimunnivoslider\fonts\Lilly-fontfacekit\
default.php Detected: HEUR:Trojan.Script.Generic root\modules\mod_plimunnivoslider\tmpl\
moxieplayer.swf Packed: Swf2Swc root\media\editors\tinymce\jscripts\tiny_mce\plugins\media\
uploader.swf Packed: Swf2Swc root\media\system\swf\
open-flash-chart.swf Packed: Swf2Swc root\media\acepolls\swf\
dahefajr.swf Packed: Swf2Swc root\templates\jp-professional\images\
TitilliumMaps29L002.eot Packed: EOT root\templates\beez5\fonts\
2e39b5.php Deleted: Backdoor.PHP.PhpShell.dz root\components\com_wrapper\
2e39b5.php Backed up: Backdoor.PHP.PhpShell.dz root\components\com_wrapper\
2e39b5.php Detected: Backdoor.PHP.PhpShell.dz root\components\com_wrapper\
dahefajr2.swf Packed: Swf2Swc root\images\
bg-conect-source.swf Packed: Swf2Swc root\images\
BKoodkBd.eot Packed: EOT root\fonts\

[Reza Ganji]

مهم همون فایل سی اس اسی هست که در بالا لینکش هست :

کد: (انتخاب همه)

public_html/plugins/editors-xtd/modulesanywhere/css

در پوشه پلاگین ها و ادیتور ایکس تی دی و پوشه مودول انی ور فایل سی اس اس رو محتویاتش رو چک کنید و یا فایل سی اس اس رو زیپ کنید و برای دانلود اینجا قرار دهید.
من فکر میکنم کلا از بسته های وارز استفاده کرده باشید.سایتتون هم ساسپند شده.البته من انتقاد نمیکنم ولی برای هاستینگ رفع این مورد نباید سخت باشه حداقل یکی دو بار بهتون کمک کنند و بعد اگر نتونستید خودتون رفع کنید سایت رو ببندند

[asemanmgh64]

متشكر كه جواب دادين
خب اصلا اين ماژول رو حذف ميكنم و از سايت مطمئني دانلود ميكنم
1- بنظرتون اين مشكل رو رفع ميكنه ؟
چون كسپرسكي از ماژولهاي زير هم خطا گرفته بود
plimunnivoslider
com_wrapper
2- اصلا اسكن ماژولها يا بسته هايي كه ميخاهيم نصب كنيم توسط ويروس يابها، تاثيري داره؟
مهم هست يا نه؟

[Reza Ganji]

بله صد در صد تاثیر داره و باید اسکن کنید.من روی سرورمون معمولا هر روز کل سایت ها رو با آنتی شل اسکن میکنم و ویروس هارو حذف میکنیم
هر افزونه ای که حاوی تروجان و ویروس است حذف کنید و نسخه سالم را پیدا کنید

[asemanmgh64]

جناب گنجی هاست رو ریست کردم
همه محتویات سالم رو دوباره بارگذاری کردم
با توجه به اینکه ایمیل فعاله فعلا اسپمی مشاهده نکردم
مسئول هاست گفت چون الگوریتم آنتی ویروس ها با هم فرق داره ممکنه ویروسی رو نشناسه
البته سرور من تو پارس آنلاین هست ولی به هر حال نتونسته بود بشناسه
ماژول آنی ور رو از سایت شما دانلود کردم ولی ویروسی نبود
بازم نصب نکردم فعلا
خیلی از راهنمایتون ممنونم
در ضمن دنبال کامپوننت ضد ویروس و اسپمی که رایگان باشه گشتم
منتهی معتبر نبود

[Reza Ganji]

سرور باید مجهز به انتی ویروس باشه که معمولا هست.شما میتونید با آنتی ویروس clamav که معمولا روی سرورها نصبه سایتتون رو اسکن کنید.
روی سرورهای لینوکسی یک اسکنر به نام CXS که مخفف کانفیگ سرور اکسپلویت اسکنر هست نصب میکنند که میتونه همه فایل هارو اسکن کنه و به کمک آنتی ویروس clam بسیاری از شل ها و ویروس ها و کدهای ارسال اسپم رو شناسایی کنه.cxs پولییه ولی زیاد گرون نیست و مطمءن بشید روی سرور توسط هاستینگ نصب شده