Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBulletin > Old vB versions (3.0.x & 2.x.x) > vBulletin 3.6.x > vBulletin [3.6] Troubleshooting and Problems

Подозрение на взлом/рассылка спама форумом без взлома

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
Николай Николаевич
Простоузер
Default Подозрение на взлом/рассылка спама форумом без взлома
1
По порядку:

Сегодня в мой ящик посыпались уведомления о недоставке сообщений на несуществующие e-mail адреса, и сообщения автоответчиков различных ящиков, которые я ранее никогда не видел.

Во всех уведомлениях цитировалось одно и тоже недоставленное сообщение от пользователя "ХХХ" в котором недвусмысленно рекламировался какой-то левый сайт, а так же сообщение, это сообщение было оформлено под уведомление форума (с едва заметными отличиями от стандатрной формы уведомлений). Я даже не сразу понял, что это не настоящее уведомление с форума.

Из вышеописанного я сделал вывод, что при помощи форума рассылается спам. Проверил наличие пользователя "ХХХ" на форуме - такого не существует (а сообщения от него идут ). Адресов, с которых приходили уведомления о недоставке сообщений, или сообщения автоответчиков - на форуме тоже зарегистрировано не было.

Но совершенно точно, что спам не просто разослан от моего имени, а именно с моего сервера, а так же, в заголовках были такие строки:

Адрес сервера
......
X-Priority: 3
X-Mailer: vBulletin Mail via PHP

Я предположил, что через взлом форума, или дыру в нём же, рассылаются сообщения даже незарегистрированным пользователем, на адреса из его же базы - не имеющие к форуму или его пользователям никакого отношения.

Попробовал отключить "Разрешить дополнительные опции электронной почты?" в админке, в разделе "Опции электронной почты" и с этой минуты уведомления о недоставке сообщений, а так же сообщения автоответчиков прекратили приходить (хотя до этого часа два приходили каждую минуту). Т. е., видимо, спам прекратил рассылаться.

Спустя ещё несколько часов вернул исходные настройки электронной почты, но сообщения больше не приходили (надолго ли?).

Судя по всему, спамером используется файл форума, ответственный за отправку эл. почты, с подставлением своих параметров в переменные.

Итак, вопрос:

Может быть, кто-то сталкивался с подобной ситуацией, или известно что-нибудь про такую уязвимость?

Гуру, как считаете, можно ли подставлять свои параметры в переменные файла, отправляющего почту? А защититься от этого можно как-нибудь?

Буду благодарен помощи.

Добавлено через 2 часа 22 минуты
В предыдущем сообщении я писал:

Quote:
Спустя ещё несколько часов вернул исходные настройки электронной почты, но сообщения больше не приходили (надолго ли?).


Как выяснилось - хватило не на долго. Спустя ещё несколько часов рассылка спама возобновилась с ещё большей активностью, так что пришлось вновь отключить "дополнительные опции эл. почты". И спам опять прекратился.
Last edited by Николай Николаевич : 09-25-2007 at 05:34 AM. Reason: Добавлено сообщение
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default
3
Quote:
Originally Posted by Николай Николаевич View Post
Гуру, как считаете, можно ли подставлять свои параметры в переменные файла, отправляющего почту? А защититься от этого можно как-нибудь?
Слабо верится... хотя недавно кто-то жаловался на подобную проблему - не помню чем все закончилось. Рекомендовал бы обновится до более поздней версии, или если обновлться лениво - хотя бы почитать тему про фиксы для 3,6,* и установить все фиксы связанные с почтой.
Quote:
на адреса из его же базы - не имеющие к форуму или его пользователям никакого отношения.
Вот в это уже совсем не верится. То что незарегистрированный оптравляет письма через воблу 3,6,4, да еще и левым адресам - почти невозможно =\

Да, возможно форум был взломан. Тогда, скорее всего, вредоносный скрипт находится в админке - модули и продукты. Советую там в модулях поискать лишние моды, которые вы не ставили. Может что и найдется.

А еще советую обратиться к хостеру и запросить логи отправки писем. Пусть скажет с какого скрипта они отправляются, и кто постоянно стучится к этому скрипту (IPшник хотя бы, да и рефферер было бы не плохо).
 
 
netwind
Гуру
 
netwind's Avatar
Default
3
там есть фича отправки сообщения по емейл посетителям
в принципе и защититься нечем кроме выключения
кто-то может вручную зарегистрироваться и начать пулять
 
 
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default
1
Quote:
Originally Posted by netwind View Post
там есть фича отправки сообщения по емейл посетителям
Так он говорит, что рассылка идет по тем адресам, которых в базе юзеров нету =\
Совсем мистика.
 
 
Николай Николаевич
Простоузер
Default
4
Quote:
Слабо верится...
Всё что написал - правда. Ну какой мне смысл сочинять?
По-моему, единственное, с чем ошибся - это с подозрением на взлом.


Кажется, уже нашёл в чём дело. Как говорится, всё гениальное - просто

netwind, был близок к истине. По умолчанию для группы "Незарегистрированные" на форуме включена весёлая функция "Отправить по эл. почте" (Опции темы -> Отрпавить по эл. почте). Ещё она называется "Отправить эту страницу другу".

Воспользовавшись ей можно, будучи незарегистрированным, отправлять при помощи форума сообщения от любого имени на любые адреса. В том числе, и из своей левой базы.

Ну а дальше дело техники - нужно было лишь склепать небольшую программку или скрипт, которая при помощи этой формы будет рассылать спам. Защит ввиде CAPCHA там нет (что весьма странно).

Возможно, кому-нибудь будет полезна данная тема. Потому как вряд ли только моим форумом пытались рассылать спам
 
 
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default
1
Quote:
Originally Posted by Николай Николаевич View Post
Всё что написал - правда. Ну какой мне смысл сочинять?
Да я имел в виду несколько другое - слабо верится в такую уязвимость в вобле.
В общем-то ее и нет, как оказалось )

Quote:
Защит ввиде CAPCHA там нет (что весьма странно).
Я думаю разрабы давно забыли о существовании этой опции, как и большая часть админов =\
 
 
DmitriS
Продвинутый
Default
1
Quote:
Originally Posted by Николай Николаевич View Post
Возможно, кому-нибудь будет полезна данная тема. Потому как вряд ли только моим форумом пытались рассылать спам
Очень полезна будет эта тема Сегодня утром обнаружил в ящике около 1000 квитанций о недоставленных сообщениях... И продолжали сыпаться в темпе пару сотен в минуту.
В панике проапгрейдился с 3.6.5 до 3.6.8 - не помогло, отключил рассылку e-mail, сразу поток прекратился.
Посмотрел опции группы незарегестрированные - действительно, e-mail другу включен. Отключил, посмотрим что будет дальше.. Николай Николаевич, спасибо за подсказку
 
 
Stalin
Продвинутый
Default
0
Quote:
Защит ввиде CAPCHA там нет (что весьма странно).
Действительно веселая штука, никогда на нее внимания не обращал (благо у воблы она запрятана, так скажем)), но сейчас глянул - капча для гостей там есть, с этим все ок, покрайней мере на 3.6.8 =)
 
 
DmitriS
Продвинутый
Default
0
Похоже, что рано я обрадовался.
При отключенных опциях "Разрешить доп. опции email?" и "Разрешить пользователям отправлять email друг друг" спам продолжает идти, правда, в гораздо меньшем количестве - за ночь получил 80 квитанций.
Что еще можно попробовать? Может кто посоветовать?
 
 
Николай Николаевич
Простоузер
Default
0
Quote:
Originally Posted by DmitriS View Post
Похоже, что рано я обрадовался.
спам продолжает идти, правда, в гораздо меньшем количестве - за ночь получил 80 квитанций.
Что еще можно попробовать? Может кто посоветовать?
Может, это "старые" квитанции были? В смысле - о старых сообщениях. Некоторые почтовики иногда спустя несколько дней отправляют ответ. Например, тот же bigmir - по-моему, спустя неделю сообщает о недоставке.
 
Page 1 of 2 1 2

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 03:12 AM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version 3.6.12
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.