Jump to content
Sign in to follow this  
principino1984

Problemi di Spam

Recommended Posts

ho scoperto qual'è il problema mi sa... in pratica stanno usando l'indirizzo email del mio cliente come "from" e "reply to" ma non dovrebbe essere un bug di qualcosa all'interno del mio server.

 

Ho trovato un link che sembra riferirsi al mio caso:

419 scam: CHERON TEXACO OIL AND GAS COMPANY <texa678566@msn.com> MESSG FROM OIL COMPANY

 

voi cosa ne dite? Perchè nel log del dominio non ho trovato nulla di strano... nel log httpd non c'è niente riconducibile a questo..

 

Marco

Share this post


Link to post
Share on other sites
Guest J3njy

Allora ... è lo stesso problema che capitò a me qualche tempo fa e mi fece diventar matto.

Considerando che la function mail() di PHP non ha nessun sistema di logging e che ipoteticamente potresti avere 500 vhost in un server con migliaia e migliaia e migliaia di file PHP la cosa diventa molto ma molto complessa.

 

Lo scopo dunque è poter loggare la funzione mail() per risalire allo script (o almeno al vhost) che è stato compromesso e che manda SPAM in continuo.

 

Il metodo seguentemente descritto lo trovai in rete e attualmente lo tengo installato sui miei server pronto ad andare in funzione qualora pflogsumm (del mio postfix) mi segnali un botto di email in uscita che abbia come sorgente il webserver (sempre della funziona mail() PHP invocata da apache stiamo parlando).

 

Iezzi.ch Blog Simple PHP mail wrapper

 

Questo metodo è infallibile !

Share this post


Link to post
Share on other sites

ok, quindi devo creare quel file..metterlo in /usr/sbin e poi in /etc/php.ini commento la riga

 

sendmail_path = /usr/sbin/sendmail -t -i

 

e al suo posto metto

 

sendmail_path = /usr/sbin/sendmail-wrapper-php

auto_prepend_file = /var/www/common/php_set_envs.php

 

e quest'ultimo file lo devo creare mettendoci dentro

 

<?php
putenv("HTTP_HOST=".@$_SERVER["HTTP_HOST"]);
putenv("SCRIPT_NAME=".@$_SERVER["SCRIPT_NAME"]);
putenv("SCRIPT_FILENAME=".@$_SERVER["SCRIPT_FILENAME"]);
putenv("DOCUMENT_ROOT=".@$_SERVER["DOCUMENT_ROOT"]);
putenv("REMOTE_ADDR=".@$_SERVER["REMOTE_ADDR"]);
?>

 

Quindi non dirmi che devo riavviare il server pls :stordita:

 

Marco

Share this post


Link to post
Share on other sites
Guest J3njy

Esatto ma attento a non terminare il file con ?>

 

Deve rimanere Aperto senza terminazione.

 

Basta che riavii apache.

 

apachectl restart

oppure

service httpd restart

 

;D

Share this post


Link to post
Share on other sites
Guest J3njy

Esatto :D

 

Per tua informazione io questo script l'ho installato tale e quale su CentOS 5 e ti assicuro che fa il suo sporco lavoro egregiamente.

 

NOTA : Se hai siti con il safe mode attivato magari ti elenca solo il vhost tra i vari campi da loggare e non tutte le informazioni come ad esempio il nome del file.

Avere però già un vhost da poter incriminare e magari incrociarlo con eventuali altri log xferlog in primis è un buon passo per poter arrivare a scovare il file in questione oppure farsi un bell egrep di tutti i file che contengono la funzione mail() e riscontrarli nell'access.log di apache ;D

Share this post


Link to post
Share on other sites

ok... era da modificare l'altro... il sendmail wrapper ora è in funzione... cercherò di capire da dove vengono inviate! per ora grazie!

 

Che altro mi consigli di installare?

 

Perchè in effetti mi viene fuori dal log questo:

 

Jan 13 17:45:22 nsXXXXX logger: sendmail-wrapper-php: site=www.dominiocliente.it,

 

E quel dominio non ha il safe mod attivato...ma è anche un dominio con joomla e un vbulletin installato. Come faccio a capire da quale file viene utilizzato?

 

Marco

Share this post


Link to post
Share on other sites

ok...ho analizzato tutti i log... guardando a cosa corrispondevano i vari sendmail-wrapper e ogni volta che c'è una voce del genere corrisponde ad una notifica di vbulletin ad un utente.

 

Ho analizzato meglio gli headers delle varie email che mi arrivano, e ho scoperto una cosa che di certo non farà piacere al mio cliente...

 

Received: from[b] 82.128.23.29[/b] by [b]202.195.64.25[/b] with SMTP; Thu, 14 Jan 2010 03:27:23 +0800
Reply-To: <bendickson.wu@secretarias.com>
From: "CHEVRON/TEXACO COMPANY LTD"<email@dominiocliente.it>
Subject: Attention:Beneficiary,... WHAT IS THE DELAY FOR ?
Date: Wed, 13 Jan 2010 20:30:17 -0800
MIME-Version: 1.0
Content-Type: text/plain;
   charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
x-aol-global-disposition: S
X-AOL-SCOLL-SCORE: 0:2:164293376:93952408  
X-AOL-SCOLL-URL_COUNT: 0  
x-aol-sid: 3039ac1d60114b4e1f5c5917
X-AOL-IP: 202.195.64.25

 

ed è proprio la prima riga che mi ha fatto capire che fortunatamente per me e sfortunaqtamente per il mio cliente... non è la funzione phpmail che manda fuori tutte quelle email infatti:

 

Received: from 82.128.23.29 by 202.195.64.25 with SMTP

 

controllando questi due IP corrispondono di certo non al mio server ma sono IP nigeriani. Quindi in pratica quel particolare indirizzo email viene utilizzato per inviare mail di spam.

 

Ora il discorso è questo... cosa gli consiglio? Non vorrei che il suo indirizzo email e il suo dominio stia finendo nei filtri antispam dei provider...

 

Marco

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×