Skocz do zawartości
mariuszad

[Zlecenie] Przekonfigurowanie postfixa+amavis+clamav+mysql

Przez mariuszad, w Oferty Pracy / Zlecenia

Polecane posty

mariuszad    0

mariuszad
Napisano (edytowany)

Witam

 

Posiadam serwer poczty oparty o postfixa+amavis+clamav_mysql. Serwer działa ale mam z nim problemy. Mimo autoryzacji użytkowników trafia się że wysyłane są maile z nieistniejących adresów z domeny i jednej poddomeny którą serwer obsługuje. W treści rozsyłanych maili jest charakterystyczny wpis "Part 3N=X-PHP-Originating-Script: 48:blog46.php(1954)". Serwer nie jest open-relay - sprawdzałem. Podejrzewam jakiegoś rootkita ale pewności nie mam.

Potrzebuje pomocy osoby która ma doświadczenie w tego typu sprawach. Zależy mi na wykryciu i usunięciu przyczyny takiego stanu rzeczy.

Co do wynagrodzenia za wykonaną pracę proponuję ustalenie należności po wstępnym rozeznaniu problemu.

Osoby zainteresowane proszę o kontakt email igorio[at]op.pl z dołączonym krótkim opisem doświadczenia zawodowego w administrowaniu postfixem.

 

Pozdrawiam

Mariusz

 

 

Edytowano przez mariuszad (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

LANcaster (kotkowicz.pl)    52

LANcaster (kotkowicz.pl)
Napisano

Po pierwsze, to nie rootkit, tylko skrypt PHP który gdzieś siedzi na dysku. Próbowałeś go znaleźć, skoro znasz jego nazwę?

Po drugie, obowiązek podania budżetu nie jest tu dla ozdoby. Twoja propozycja również tu nic nie zmienia i tak dostaniesz wycenę i tak. Natomiast budżet jest obowiązkowy i nie ma wiele wspólnego z wyceną.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

Po pierwsze, to nie rootkit, tylko skrypt PHP który gdzieś siedzi na dysku. Próbowałeś go znaleźć, skoro znasz jego nazwę?

 

Tak. Znajduje je w katalogu /var/www gdzie jest cms joomla. Podałem tylko jedną z wielu nazw jakie pojawiają się. Oczywiście usuwam je ale to nic nie daje. Domyślam się (a może i mylę się) że musi być jakiś rootkit który generuje te srypty a dopiero skrypt. poprzez funkcje joomli php web mail rozsyła maile. Na wszelki wypadek wyłączyłem phpwemail w obydwu cms-ach ale to też nie pomogło.

 

Po drugie, obowiązek podania budżetu nie jest tu dla ozdoby. Twoja propozycja również tu nic nie zmienia i tak dostaniesz wycenę i tak. Natomiast budżet jest obowiązkowy i nie ma wiele wspólnego z wyceną.

Masz rację. Zapomniałem o tym. Mój budżet jest skromny - 400 zł.

find /sciezka/do/domeny -name 'blog46.php'

Znajduję, usuwam, - bez skutku...

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murgal    0

murgal
Napisano

Plik się sam pojawia? Pewnie w innym pliku coś go generuje. Poustawiaj w skryptach poprawne Chmody aby nie miały dostępu do tworzenia plików (jeśli nie muszą).

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

Plik się sam pojawia? Pewnie w innym pliku coś go generuje. Poustawiaj w skryptach poprawne Chmody aby nie miały dostępu do tworzenia plików (jeśli nie muszą).

Tak mi się wydaje. Myślałem że znajdę proces który generuje te skrypty php ale nie wiem jak - za mała praktyka. Chmody są na 644

Strona oparta o wordpress i dziurawą skórkę, prawdopodobnie z nieznanego źródła.

Joomla

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

bybunny    540

bybunny
Napisano (edytowany)

Tak mi się wydaje. Myślałem że znajdę proces który generuje te skrypty php ale nie wiem jak - za mała praktyka. Chmody są na 644

Joomla

 

jeszcze bardziej dziurawa , wpisz w google "blog46.php" zobaczysz ile witryn jest zainfekowanych. Idąc dalej skoro o prawach do plików mowa równie dobrze sama usługa może być słabo zabezpieczona. Mimo to dalej twierdze że problem dotyczy skórki. Zajrzyj w logi a tam znajdziesz odpowiedź bo by wygenerować plik ktoś musi go wywołać zdalnie lub sprawdzić czy już istnieje.

Edytowano przez SiXwishlist (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

 

jeszcze bardziej dziurawa , wpisz w google "blog46.php" zobaczysz ile witryn jest zainfekowanych. Idąc dalej skoro o prawach do plików mowa równie dobrze sama usługa może być słabo zabezpieczona. Mimo to dalej twierdze że problem dotyczy skórki. Zajrzyj w logi a tam znajdziesz odpowiedź bo by wygenerować plik ktoś musi go wywołać zdalnie lub sprawdzić czy już istnieje.

Przejrzałem mailog,messagess, cron, http-access*, sshd ... w zasadzie wszystkie - nic nie znalazłem. . Zainstalowałem rkhunter - nic nie znalazł.

Teoria o zdalnej aktywacji przemawia do mnie. Czy joomla ma własny system logów pozwalający na odnotowanie takiego wywołania skryptu z zewnątrz ?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

bybunny    540

bybunny
Napisano

to nie ma związku z logami dotyczącymi wysyłki ale logami od strony www. Popatrz na zawartość plików po dacie ich utworzenia a dojdziesz do źródła. Skoro to joomla to również jakiś dodatek może być dziurawy który tworzy element na stronie dodając własna zawartość "js" która służy do utworzenia wspomnianego pliku.


zobacz również ustawienia php na ile pozwalają na ingerencję z zewnątrz

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

to nie ma związku z logami dotyczącymi wysyłki ale logami od strony www. Popatrz na zawartość plików po dacie ich utworzenia a dojdziesz do źródła. Skoro to joomla to również jakiś dodatek może być dziurawy który tworzy element na stronie dodając własna zawartość "js" która służy do utworzenia wspomnianego pliku.

zobacz również ustawienia php na ile pozwalają na ingerencję z zewnątrz

Rozumiem. Które ustawienia php dają największe prawdopodobieństwo wykorzystania ? W php.ini ustawiłem funkcję "mail.log =" - może coś się złapie.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

bybunny    540

bybunny
Napisano

ok, więc na początek przyjmij do wiadomości że nie interesują ciebie logi poczty i nie ma to związku z tytułem tego postu a dziurą w skrypcie samej strony. Co masz w php disable_functions= ?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

Wydawało mi się że problem jest w konfiguracji postfixa ale po rozmowie z Tobą sam widzę że problem leży gdzie indziej.

 

disable_functions = - pusty - ustawienie domyślne

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

bybunny    540

bybunny
Napisano

to wyjaśnia bardzo dużo, proponuję by nie ciągnąc wątku w nieskończoność przeanalizować zawartość wyników google z hasłem: "disable_functions ="

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

bybunny    540

bybunny
Napisano

disable_functions za dużo mu nie pomoże, takie "wtyczki" korzystają często z eval aby zaciemnic kod.

skoro to serwer dedykowany może zrobić bardzo wiele np zainstalować mod_security

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

skoro to serwer dedykowany może zrobić bardzo wiele np zainstalować mod_security

Dzięki za wskazówki. Przyjrzę się jeszcze raz logom - teraz pod innym kątem. Serwer również przejrzę.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

mariuszad    0

mariuszad
Napisano

Dzięki za wskazówki. Przyjrzę się jeszcze raz logom - teraz pod innym kątem. Serwer również przejrzę.

Podziałało. Temat do zamknięcia.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Oferty Pracy / Zlecenia
×