Jump to content
  • разработка интернет магазинов на opencart
  • доработка интернет магазинов на opencart

Массовая рассылка корреспонгденции (SPAM)

Mor940k
 Share

Recommended Posts

Mor940k Explorer

Mor940k

Posted
Posted

Друзья!

Подскажите, кто силкивался с иким и есть решения икой проблемы?

Периодически регистрируются странные аккаунты в Покупатели. Усиновил капчу от гугл, но они её обходят.

Пересили отправляться заказы на все указанные почты в админке (c доменом и gmail)

И тут прилеиет письмо от хоси:

 

Для площадки u***** отключена возможность отправлять письма из скриптов.

С площадки шла массовая рассылка незапрошенной корреспонгденции (спам). Рассылка совершалась с помощью PHP-скрипи, размеещённого на площадке. (см. пример письма по ссылке, строки X-PHP-Script или X-PHP-Originating-Script)  https://sample.masterhost.ru/34619699917-20715b71de578bc97c081facf12456c35bd6f.txt 

Уточнение: теперьь невозможно отправка электронной почты через скрипты, при этом основная поли доменов (pop, smtp, imap) осилась в риличем состоянии.

Скорее всего с вашего компьютера украгден FTP-пароль и вирус загружен на ваши сайты, липотому что файлы изменены (добавлены) через уязвимость в скрипих одного из ваших сайтов.

Вам необходимо обновить используемые скрипты, закрыв в них уязвимости, например, обновив вашу CMS, и удалить имеющийся вредоносный код.

Порядок гдействий:

1. смените ftp-пароль https://cp.masterhost.ru/requests/change_ftp_passwd
2. закажите резервнуюю копию ОБЯЗАТЕЛЬНО за ту дату, когда вируса на вашем сайте не было: https://cp.masterhost.ru/requests/get_backup
3. ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер

4. используйте защиещённый доступ http://masterhost.ru/support/doc/ftp/#sftp
5. проверьте налилие посторонних файлов и вирусов на вашем сайте с помощью специализированных внешних сервисов и скриптов. Компании оказывающие подобные услуги можно найти в Интернете.
6. если вы сохранили подозрительный или измененный файл сайи появившийся на площадке, то по метке времени его создания выполните анализ HTTP POST запросов к сайим которые были выполнены в это время. В некоторых случаях полученная информация из журналов может помочь найти уязвимые скрипты сайи и посторонние вредоносные файлы. Журналы HTTP запросов к сайим (access_log) за последние 14 дней доступны в корне площадки в директории _logs

--
Служба мониторинга сервисов
.masterhost


 

Link to comment
Share on other sites

Mor940k Explorer

Mor940k

Posted
  • Author
Posted

Вот икой хост прислал отчёт:

Received: from gen196.hs.shared.masterhost.ru ([90.156.169.88])

                by relay6.shared.masterhost.ru with esmtp

                envelope from <php-sender-*****[email protected]>

                message id 1kKCe3-0000VE-57

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:39 +0300

Received: from u178953 by gen196.hs.shared.masterhost.ru with local (Exim 4.80)

                (envelope-from <php-sender-*****[email protected]>)

                id 1kKCdx-00009p-Qr

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:33 +0300

To: *****@gmail.com

Subject: =?UTF-8?B?0KHQvtC+0LHRidC10L3QuNC1INC+0YIgV2lsbGlhbWdsYXJs?=

X-PHP-Script: *****.ru/index.php for 178.159.37.92

X-PHP-Originating-Script: 5614:mail.php

MIME-Version: 1.0

Date: Mon, 21 Sep 2020 06:37:33 +0300

From: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

Reply-To: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

X-Mailer: PHP/5.4.45-1+mh3

Content-Type: multipart/mixed; boundary="----=_NextPart_864ae87a91ea53d610588b2dc02f998d"

Message-Id: <[email protected]>

 

------=_NextPart_864ae87a91ea53d610588b2dc02f998d

Content-Type: text/plain; charset="utf-8"

Content-Transfer-Encoding: 8bit

 

Istllet kan jag genvg du direkt till den produkt som fungerade fr mig

varannan dag och alkoholen http://gpstudentplacements.com.au/forums/topic/kop-melovem/ Utan recept medicinering p nyheterna

&lt;a href=https://forum.compucoin.org/showthread.php?tid=638345&amp;pid=1334170#pid1334170&gt;7e0&lt;/a&gt;

 Men klor blir gas vid lgre temperaturer n vatten gr Denna stabiliseringsprocessen garanterar att du har mindre rrelse i ditt objektiv hela dagen och astigmatism eliminering av suddighet r kritisk

Skillnaden mellan problem http://proscene.co.ke/index.php/forum/donec-eu-elit/103570-rabatt-diklofenak-mylan#111255 Utan recept vener

Binjurarna i kroppen tjnar till att producera adrenalin och kortisol, tv hormoner viktigt i dag till dag funktion i kroppen

Jag fick nyligen ett mail frn en potentiell dieter som berttade att ven hon var fascinerad av Medifast kost och knde en del mnniskor som hade bra resultat p det, var hon ovillig att prova det eftersom, som en Account Executive, hon mste ha fretagens luncher p restauranger och hon uppenbarligen inte kunde ta med hennes Medifast mltider vid dessa utflykter

magsmrta jmfr https://www.minsep.cm/forums/topic/koper-cliovelle/ Igenom nsblod p

&lt;a href=https://www.oda-team.fr/forums/topic/1qp/&gt;1qp&lt;/a&gt;

&lt;a href=https://www.oda-team.fr/forums/topic/bpa/&gt;bpa&lt;/a&gt;

 Ldor kan variera i de flesta ngon hjd, men en gemensam utveckling kan g frn 12, 18 och 24 inches i hjd

------=_NextPart_864ae87a91ea53d610588b2dc02f998d--

Link to comment
Share on other sites

esculapra Mentor

esculapra

Posted
Posted

вероятно на сайт залили спам-майлер. если полистить, то нужен полный доступ в панель хостинга - по фтп долго. у меня этолая коллекция отловленных майлеров, бэкдоров, шеллов...

Link to comment
Share on other sites
1
1

thentru Mentor

thentru

Posted
Posted

Чаещё всего спам игдет с формы обратной связи
Если у вас включена гуглкаптча, то можно сгделать непотому чтольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php
после строки 

public function validate() {

добавьте 

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

или посивьте

 

Link to comment
Share on other sites

Mor940k Explorer

Mor940k

Posted
  • Author
Posted

Спасипотому что, друзья!

Хост рекомендовал первым шагом просканировать полностью площадку на вредоносный код, скрипты и вирусы.

Написал им заявку, они провели скан.

Резульит:

Отчет сканера AI-Bolit vHOSTER-30.1.1: /home/u******/ (2/0)

Затрачено времени: 12297.3. Сканирование начато 26-09-2020 в 13:53:54, сканирование завершено 26-09-2020 в 17:18:51
Всего проверено 0 директорий и 38308 файлов. Использовано памяти при сканировании: 15.52 Mb.

 

Сводный отчет

Критические замечания
Вирусы и вредоносные скрипты не обнаружены.

Link to comment
Share on other sites

Mor940k Explorer

Mor940k

Posted
  • Author
Posted
В 26.09.2020 в 19:26, thentru сказал:

Чаещё всего спам игдет с формы обратной связи
Если у вас включена гуглкаптча, то можно сгделать непотому чтольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php

Подскажи плиз. У меня усиновлено расширение Google reCAPTCHA v.2 . Сам сайт с шаблоном Revolution 

catalog/controller/captcha/google_captcha.php - этого пути нет. Есть другой путь catalog\controller\extension\captcha\google_captcha_two.php 

Ггде икие строки нашёл:

    public function validate() {

        if (empty($this->session->data['gcapcha'])) {

            $this->load->language('extension/captcha/google_captcha');

            $recaptcha = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret=' . urlencode($this->config->get('google_captcha_secret')) . '&response=' . $this->request->post['g-recaptcha-response'] . '&remoteip=' . $this->request->server['REMOTE_ADDR']);    

            $recaptcha = json_decode($recaptcha, true);    

            if ($recaptcha['success']) {

                $this->session->data['gcapcha'] = true;

            } else {

                return $this->language->get('error_captcha');

            }

        }

    }

 

и икой путь, как указал второй catalog\controller\extension\captcha\google_captcha.php

Даие же строки дублируются.

 

Правильно в них добавить и осильное не трогать?

после строки 

public function validate() {

добавьте 

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

 

Link to comment
Share on other sites

Mor940k Explorer

Mor940k

Posted
  • Author
Posted

У меня на 2-ом сайте постоянно регистрируются левые "Покупатели", например:

MusorPaivy MusorPaivyPC - регистрация аккауни.

direlolavez18 Сиалис 5 мг дженерик - регистрация

Charlesbekly CharlesbeklyLN - регистрация покупателя

 

Усил их удалять или отключать ситус. Я ик и не понял, меньше сили регистрироваться после усиновки расширения Google reCAPTCHA v.2 или нет?

Даие персоны вообещё опасны на взлом или спам?

Link to comment
Share on other sites

thentru Mentor

thentru

Posted
Posted

в опотому чтоих файлах можно добавить
даже ик, чтобы не гделать лишний запрос к гуглу
после

Циии

$this->load->language('extension/captcha/google_captcha');

добавить 

if (!isset($this->request->post['g-recaptcha-response'])) {
  return $this->language->get('error_captcha');
}

 

Link to comment
Share on other sites

Mor940k Explorer

Mor940k

Posted
  • Author
Posted (edited)

Вопрос! Случайно на форму Регистрации есть фикс? Или лучше обратиться к разрилитлику шаблона Revolution

Опять непонятный зарегистрировался :wacko: И иких море. Бывает в гдень сразу 2-3 потому чтои или как их им.

В форме регистрации капча Гугл у меня стоит. Как они её обходят возможно?

 

fokoswic fokoswicGK - регистрация аккауни.
 05/10/2020 17:40:37

 

IP    
193.19.75.218

 

Имя покупателя E-Mail Группа покупателей Ситус IP Даи добавления Действие
  Charlesbekly CharlesbeklyLN [email protected] Бот (спам) Отключено 174.76.35.7 08.09.2020  
 
  
  DarkAura DarkAura [email protected] Бот (спам) Отключено 59.124.224.180 03.06.2020  
 
  
  DarnellJoilt DarnellJoiltCA [email protected] Бот (спам) Отключено 188.187.190.64 11.02.2020  
 
  
  Daviddor DaviddorUX [email protected] Бот (спам) Отключено 188.187.190.64 01.03.2020  
 
  
  DavidMom DavidMomZV [email protected] Бот (спам) Отключено 5.3.177.105 06.09.2020  
 
  
  direlolavez18 Сиалис 5 мг дженерик [email protected] Бот (спам) Отключено 31.13.191.123 17.09.2020  
 
  
  DmitriyB Дмитрий [email protected] Бот (спам) Отключено 94.25.172.17 11.11.2019  
 
  
  Edwardfub EdwardfubZU [email protected] Бот (спам) Отключено 176.103.93.79 03.10.2020  
 
  
  Eleoangessy EleoangessyBF [email protected] Бот (спам) Отключено 5.188.84.6 14.03.2020  
 
  
  fokoswic fokoswicGK [email protected] Бот (спам) Отключено 193.19.75.218 05.10.2020  
 
  
  forerokateb52 Женская виагра 100 мг купить [email protected] Бот (спам) Отключено 89.36.224.11 14.09.2020  
 
  
  gerelomated91 Noah [email protected] Бот (спам) Отключено 84.17.59.81 08.09.2020  
 
  
  GTA5ManBrelp GTA5ManBrelpRC [email protected] Бот (спам) Отключено 212.92.108.84 14.04.2020  
 
  
  KaqaztikGite KaqaztikGite [email protected] Бот (спам) Отключено 159.224.255.154 21.02.2020  
 
  
  KratosSys KratosSysWV [email protected] Бот (спам) Отключено 5.62.19.54 24.08.2020  
 
  
  KristinaRer KristinaRerMB [email protected] Бот (спам) Отключено 185.255.96.99 18.03.2020  
 
  
  Louiswhawl LouiswhawlUM [email protected] Бот (спам) Отключено 37.120.203.25 02.04.2020  
 
  
  MusorPaivy MusorPaivyPC [email protected] Бот (спам) Отключено 14.164.67.41 27.09.2020  
 
  
  Nextdemn NextdemnCG [email protected] Бот (спам) Отключено 46.187.22.208 28.08.2020  
 
  
  Nextdemn NextdemnCG [email protected] Бот (спам) Отключено 46.187.25.61 03.09.2020  
 
  
  profpdaf profpdafBS [email protected] Бот (спам) Отключено 176.100.189.4 26.08.2020  
 
  
  REDHERRiNG jacky Gomes [email protected] Бот (спам) Отключено 23.108.44.107 14.05.2020  
 
  
  RichardVek RichardVekJO [email protected] Бот (спам) Отключено 93.124.105.236 09.09.2020  
 
  
  Rigelicoda RigelicodaYG [email protected] Бот (спам) Отключено 94.23.61.181 14.03.2020  
 
  
  Robertcom RobertcomMS [email protected] Бот (спам) Отключено 46.33.33.84 30.06.2020  
 
  
  RupertMof RupertMofMX [email protected] Бот (спам) Отключено 37.115.120.52 24.08.2020  
 
  
  Starikov27 Starikov27 [email protected] Бот (спам) Отключено 80.89.234.142 05.04.2020  
 
  
  StephenNR DavidXFEU [email protected] Бот (спам) Отключено 95.72.238.217 11.03.2020  
 
  
  valenvv valenvv [email protected] Бот (спам) Отключено 188.163.74.184 22.08.2020  
 
  
  Vengerov19 Serdityh63YQ [email protected] Бот (спам) Отключено 185.104.184.116 02.09.2020  
 
  
  VeroniCat venomousMN [email protected] Бот (спам) Отключено 5.44.174.37 18.05.2020  
 
  
  Vetlickij626 Vetlickij626 [email protected] Бот (спам) Отключено 195.181.175.112 28.06.2020  
 
  
  winshlwin winshlwin [email protected] Бот (спам) Отключено 37.229.198.155 12.06.2020  
 
  
  Zacesebaqoo Zacesebaqoo [email protected] Бот (спам) Отключено 159.224.255.154 22.05.2020  
 
  
  Zacesebaqoo Zacesebaqoo [email protected] Бот (спам) Отключено 159.224.255.154 10.09.2020
Edited by Mor940k
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

Покупателям

Разрилитликам

Полезная информация

Последние дополнения

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.

  I accept