Varbūt ir kāda ideja, kā izķert direct-to-mx spamskriptu uz servera? Apača logu analīze nelīdz. find -user www-data arī neko dižu neatrod.
@laacz tvītu arhīvs
Sakarā ar to, ka Twitter ir slēdzis bezmaksas piekļuves savam API, šis projekts var tikt uzskatīts par mirušu sākot ar 2023. gada 15. jūniju.
Šis ir tvitera pavediens. No senākā uz svaigāko. Tvītu skaits: 27
@laacz ar iptables, gan bloķēt, gan rakstīt logfailā.
@laacz izsutita info ir viena un taa pati?ko saka maillogs. Nezinu kas Tev tur sabuvets, bet pec mailloga info ko saka greps user www?
@mariskiselovs Tas salauzīs legālos e-pastus.
@dj_beatmaster Maillogs jau neko nesaka, jo sūta pa taisno uz SMTP. Man ir tikai viena sample. Par līdzībām nevaru spriest.
@laacz bet kaa izsuuta uz SMTP? ar socket connect caur php? Ja zini uz kuru SMTP bliezh, var noblokjet to iptables un monitoret error log
@dj_beatmaster Takš bliež uz visurieni :)
@laacz pag email destination var but visur bet SMTP serveris jaizmanto,kas atlauj (hosts sava tikla utt) vai login+pass.Open SMTP nemetajas
@ArtisSteinbergs 1. Regulāri notiek naktī 2. Neesmu vēl izķēris, jo tad jau ar lsof varētu visu izkost. 3. Tas afektēs arī legālos epastus.
@ArtisSteinbergs Jamais sūta caur SMTP, nevis sendmail.
@dj_beatmaster Doh. Atrodam MX prasītajam domeinam un pūšam pa taisno. Kur problēma?
@laacz netstat -anp | grep 25
@AleksejsZ Ja es tajā brīdī spētu izķert, tad būtu lieliski. lsof parādītu arī skriptu. Bet tas notiek šad un tad...
@AleksejsZ Bet sāku jau rakstīt skriptu, kas laižas */1 un pēc specifiskām proc pazīmēm detektē šitādus procesus.
@laacz vēl paliek varians naivi izgrepot failus uz mail utt funkciju izsaukumiem. Var arī noveikties. ;)
@AleksejsZ To jau daru lēnā garā fonā. Un nevis mail, bet fsockopen, passthru, eval, utt :)
@AleksejsZ Es pats gan uz to neuzķertos. $f=strrev('lave'); $f('bugaga'); // Man gan uz servera evals ir atrubīts nna.
@laacz kā tu vispār uzzināji ka tev tur kāds ļaunums dzīvo?
@Endijs Kaut kad nagioss nobļāvās par pārlieku daudz procesiem. Es neidziļinājos. Un tagad sblā esmu :/
@laacz tu gribi teikt ka tiem domeniem ir atveertie SMTP? Pameegjini nosuutiit mailu piemeram caur LMT SMTP izmantojot cita provaidera tiklu
@dj_beatmaster Doh. Nav runa par avērto smtp. Uz saviem domeiniem takš saņemt vari no jebkurienes pasaulē.
@laacz tad jau tas nav smtp bet prasts mail() uz destination MTA liimenii nevis socket connect. Neapskaidrojot probl saprat nevar
@dj_beatmaster Nu, bāc. mail() iet caur lokālo MTA. To var atsekot, ka nosmird. Šeit PHP skripts pats lookupo MX un stumj caur tcp soketiem.
@dj_beatmaster Q=$(lsof -i:25 -sTCP:ESTABLISHED | grep www-data | awk '{ print $2 }' | tr '\012' ,) && [[ -n $Q ]] && lsof -p $Q
@msturnieks Nope, nekādu indikāciju. Pēc logiem nekā aizdomīga nebija.
@msturnieks Nu, es arī uzgāju pārīti līdzīgu. Tos izmēzu, noapgreidoju visu uz tā vhosta un saliku kronā lsof skaneri. Redzēs.
@AivarsSterns Clams ruņījas ik nakti, 25 portu nedrīkst klapēt ciet no www usera - izmanto.