Атака на этот домен и отключение ряда сервисов

22 ноября на несколько часов все сервисы домена были отключены по подозрению на взлом и/или "дыру", позволившую сделать массовую рассылку спама через мой SMTP.

Вот какие типовые меры рекомендует в этом случае хостер:

1. Проверить все компьютеры, которые имеют доступ к Вашему FTP-аккаунту, на наличие вирусов.
2. Сменить пароль на все FTP-аккаунты в панели управления.
3. Исследовать контент аккаунта на наличие чужого кода/файлов.
4. В случае невозможности впоследствии исправить ущерб контенту и/или базе данных (если оный имеет место быть), нанесенный вирусом, необходимо заказать восстановление данных аккаунта из панели управления (бэкап данных доступен за последние 7 дней с текущего момента).
5. Обновить программное обеспечение, на котором работают Ваши сайты (в случае, если это какой-либо готовый движок).
6. Устранить возможные дыры в ПО, обслуживающем Ваш сайт (в случае, если сайты обслуживаются самописным кодом).

Что примерно и сделано:

А как узнать подробнее, что за спам и откуда именно была активность?
В последние несколько дней замечал на счётчике, что много одновременных сессий к сайту, но не придал значения, подумал, что ошибка.
Из текста следует, что по почте, но там только один скрипт, который это может. Он защищён и проблем с ним не возникало. Но до выяснения пока убрал с хостинга (mailer.kislenko.net)
Еще обнаружил, что за последние несколько дней заспамлен форум (phpbb 2.сколькото, forum.kislenko.net) - порядка 4000 сообщений - это считается? Насколько я понимаю, сделать через него рассылку нельзя, можно только нагрузить сервер. Тем не менее, форум убрал с хостинга до выяснения, сейчас он неактуален. Нужные 20-30 сообщений потом заберу из базы вручную или скопирую на локалхост.
По пунктам:
1. Доступ к аккаунту с одного компа, на нём вирусов нет, лицензионный антивирус, постоянно все проверяется.
2. Пароли все сменил. Почтовых аккаунтов на хостинге нет.
3. Посторонних или изменённых файлов не найдено, разве sh.core в субдомене mailer но он старый
4. База цела
5. Движков по убиении phpBB 2.X нет
6. Тут ничего никогда гарантировать нельзя, но других проблем, кроме вышеописанных, не обнаружил. Больше информации - стало б понятней. В логах чисто. Пароль доступа к "самописному" админскрипту тоже сменил.
Если есть техническая возможность, прошу сообщить дополнительную информацию. Если приведённых действий достаточно, прошу разблокировать сайт.

По крайней мере, форум точно был заспамлен примерно 4 с половиной тысячами спамерских сообщений, получается, считать в настоящее время надёжным движок PHPbb 2.X уже нельзя, не помогла и текстовая капча.

В общем, вот список временно или надолго (будет ли время разобраться?) отключённых сервисов домена:

• forum.kislenko.net, заспамленная база сохранена, несколько сообщений, которые могут представлять ценность, потом извлеку; жалко разве что оформление, ну да с него - скриншот на память :)
• mailer.kislenko.net - отправка письма от кого угодно кому угодно. Желающие могут скачать исходник сервиса и ставить у себя, а мне - ну его на фиг :)
• отправка сообщений мне на E-mail из этого блога. Всё равно полезные письма, отправленные этим сервисом приходят раз-два в год.

По числу одновременно открытых сессий вроде

Пользователей онлайн: 267

видно, что атака продолжается, но, вроде бы, нагрузка штатная :)

P.S. 19/02/2015 счетчик посетителей онлайн отключен для уменьшения нагрузки на сервер

 Скриншот покойного форума :) (312 Кб)

25.11.2012, 21:18 [11434 просмотра]