ENG    РУС

Все заметки блога »

С сайта рассылается спам. Как найти источник спам-рассылки на сервере?

Закажите лечение сайта и защиту от взлома у специалистов

Чтобы найти источник спам-рассылки на сайте, нужно в файле php.ini включить логирование рассылаемой почты директивами:

mail.add_x_header = On
mail.log = <путь до вашего пользовательского каталога>/phpmail.log

(Если php.ini не доступен, попросите это сделать техподдержку хостинга)

После включения данных опций в заголовок каждого письма, отправленного функцией mail(), будет добавляться строка вида

X-PHP-Originating-Script: <UID>:<имя скрипта>.php

Например,

X-PHP-Originating-Script: 33:ok.php

В случае спам-рассылки необходимо анализировать служебные заголовки рассылаемых писем и лог phpmail.log, в котором будут записи вида
mail() on [/var/www/vhosts/site.com/httpdocs/pages/modules/system/system.mail.inc:83]: To: smith@domain.co.uk -- Headers: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed; delsp=yes Content-Transfer-Encoding: 8Bit X-Mailer: Drupal Sender: smith@domain.co.uk From: smith@domain.co.uk

Так вы сможете легко найти скрипт, рассылающий спам, и удалить его.

Если ваш сайт или эккаунт на хостинге уже заблокировали за рассылку спама, запросите в техподдержке хостинга для анализа 

  1. логи почтового сервера за день рассылки
  2. логи веб-сервера (access_log) за день рассылки
  3. образцы писем из спам-рассылки (нужны служебные заголовки писем)

Далее в ходе анализа возможны два варианта:

  1. В заголовке спам-письма будет строка X-PHP-Originating-Script. В этом случае вы знаете, через какой скрипт была выполнена рассылка.
  2. Строка X-PHP-Originating-Script в служебном заголовке отсутствует. В этом случае нужно сопоставить дату и время отправки писем (ее можно узнать из служебного заголовка письма) с логами веб-сервера (access_log). Скорее всего в access_log в то же самое время будет обращение к скрипту методом POST. Этот скрипт будет источником спама.  

После удаления спам-рассыльщика рекомендуем просканировать сайт на наличие других вредоносных скриптов (бэкдоров или хакерских шеллов), так как обычно взлом сайта не ограничивается размещением только одного скрипта, рассылающего спам. Сайт можно проверить бесплатным сканером AI-BOLIT. Если у вас не получается сделать это самостоятельно, обратитесь к профессионалам.

Теги: спам, рассылка спама, сайт рассылает спам, хостинг заблокировал сайт за рассылку.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: