Jump to content
Sign in to follow this  
squalo

chi usa il mio qmail?

Recommended Posts

Come si può verificare quale dominio o script usa qmail o il php mail?

da qualche giorno nella mail queue del plesk vedo centinaia di email inviate dal mio server ma tutte spamm.

Leggendo l'header della email vedo:

 

Received: (qmail 18666 invoked by uid 48); 28 Feb 2009 10:24:10 +0100

Date: 28 Feb 2009 10:24:10 +0100

Message-ID: <20090228092410.18663.qmail@xxxxxxx.net>

To: dandy_don@sbcglobal.com

Subject: Register now and pick the fruits worth thousands of dollars.

From: Jerry Kay <moae@inbox.ru>

Reply-To: teeyfoftjui@royalmail.com

MIME-Version: 1.0

Content-Type: text/plain; Charset=windows-1251

Content-Transfer-Encoding: 8bit

cercando sul plesk ho trovato questo aiuto: KB Parallels: Many email messages are sent from PHP scripts on the server. How can I find what domains these scripts are running on?

ho provato, ma non ho avuto risultati (probabilmente ho sbagliato qualcosa)

la mia domanda è, ci sono modi/script per vedere chi invia email con mittente anonymous@xxxxx.net?

Share this post


Link to post
Share on other sites
Ho il tuo stesso problema puoi aiutarmi a risolvere?

io ho risolto in questo modo:

ho disabilitato i cgi (vengono riattivati solo se sono necessari e controllando per i primi giorni);

disabilitando il php e man mano riabilitando un paio di domini per volta (è dura lo so)

alla fine sono arrivato alla conclusione che joomla e zencart sono i meno affidabili, devono essere sempre aggiornati.

Comunque, per sicurezza il file di joomla tcpdf.php che si trova nella cartella: libraries/tcpdf e meglio rinominarlo o cancellarlo :approved:

Ti consiglio inoltre di verificare la combinazione email/pws che non sia troppo facile, ad un webmaster gli è venuta la voglia di creare una email: test con la pws test :lode::lode::lode: ho capito lo scherzetto dopo 120/130.000 email inviate dal server.

Trovare lo spammer o lo script non è facile e ci vuole tempo...

Buon lavoro :approved:

Share this post


Link to post
Share on other sites

Grazie squalo,

penso di aver trovato anche io, però sono costretto a cambiare server perchè come saprai sicuramente dopo tutto lo spam gli ip vanno in blacklist....

Il nostro amico lamerino credo sia entrato da uno script osc vulnerabile, sovrascrivendo gli index.html con mysql injection, dopo di che ha tirato fuori le pass ftp ed ssh iniziando a giocare con lo spamm.

 

Almeno sappiamo come proteggerci sul nuovo server.

 

Lascio un consigli cmq a tutti coloro che dopo di noi avranno a che fare con questa gentaglia,

 

leggendo nei vari forum si consiglia sempre e comunque per tutto una pass superiore ai 13 K,

deve essere composta sempre da :

 

lettere minuscole e maiuscole, numeri e caratteri speciali,

 

In questo modo i lamer avranno molta difficoltà ad accedere ai servizi...

 

Altro consiglio : I software opensource vanno continuamente controllati ed aggiornati.

 

Buon lavoro a tutti e speriamo che questi nulla facenti la finiscano di andare in giro a rompere....

Share this post


Link to post
Share on other sites
Grazie squalo,

penso di aver trovato anche io, però sono costretto a cambiare server perchè come saprai sicuramente dopo tutto lo spam gli ip vanno in blacklist....

 

Puoi tranquillamente chiedere il delisting.

Non dimenticarti che se gli stessi IP saranno assegnati ad un altro cliente, il malcapitato si troverà gli IP in blacklist senza aver fatto assolutamente niente.

 

Il nostro amico lamerino credo sia entrato da uno script osc vulnerabile, sovrascrivendo gli index.html con mysql injection, dopo di che ha tirato fuori le pass ftp ed ssh iniziando a giocare con lo spamm.

 

Almeno sappiamo come proteggerci sul nuovo server.

 

Lascio un consigli cmq a tutti coloro che dopo di noi avranno a che fare con questa gentaglia,

 

leggendo nei vari forum si consiglia sempre e comunque per tutto una pass superiore ai 13 K,

deve essere composta sempre da :

 

lettere minuscole e maiuscole, numeri e caratteri speciali,

 

In questo modo i lamer avranno molta difficoltà ad accedere ai servizi...

 

Altro consiglio : I software opensource vanno continuamente controllati ed aggiornati.

 

Buon lavoro a tutti e speriamo che questi nulla facenti la finiscano di andare in giro a rompere....

 

La robustezza delle password ti può proteggere da un eventuale cracking, anche se con il caro john the ripper è solo questione di tempo.

 

Altro discorso è la sicurezza del software che installi sul sistema, ci sono strumenti di monitoraggio proattivi che sono molto utili, ma bisogna conoscerli e sapere come funziona un sistema.

 

Ciao,

 

F.

 

P.S.

 

Se non hai la certezza matematica di quale vulnerabilità sia stata sfruttata, cambiare server non servirà a nulla.

Share this post


Link to post
Share on other sites
Puoi tranquillamente chiedere il delisting.

Non dimenticarti che se gli stessi IP saranno assegnati ad un altro cliente, il malcapitato si troverà gli IP in blacklist senza aver fatto assolutamente niente.

 

 

io per esempio ho un IP molto "gettonato" da siti porno coreani, cinesi e giapponesi quasi quasi me lo vendo a qualcuno che fa questi tipi di siti :emoticons_dent2020::emoticons_dent2020::emoticons_dent2020:

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×