سلام . نمیدونم چجوری سایتم هک شده بود که تعداد زیادی ایمیل در ساعت ارسال کرد که از حد مجاز فراتر رفت و سرور اکانت منو مسدود کرد . بعدا چک کردم دیدم همچین ایمیلی در اینباکسم هست



This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

houch@langoo.com
Domain sokhangostar.com has exceeded the max emails per hour (200) allowed. Message discarded.

------ This is a copy of the message, including all the headers. ------

Return-path: <hpghxyue@pr1-1.hannoverit.com>
Received: from hpghxyue by pr1-1.hannoverit.com with local (Exim 4.69)
(envelope-from <hpghxyue@pr1-1.hannoverit.com>)
id 1MCYJM-0005sT-1d
for houch@langoo.com; Fri, 05 Jun 2009 14:14:16 +0200
To: houch@langoo.com
Subject: New comment item on <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>
Date: Fri, 5 Jun 2009 14:14:16 +0200
From: &quot;literary-award.com&quot; &lt;info@jayezeyadabi.com&gt;
Message-ID: &lt;2ad0fa0d98ee44a62b05bfd23cac8189@<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>
X-Priority: 3
X-Mailer: PHPMailer [version 1.73]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=&quot;utf-8&quot;

Hello Carmen,&lt;br /&gt;&lt;br /&gt;A user has posted a new comment:&lt;br /&gt;&lt;br /&gt;&lt;b&gt;Author&lt;/b&gt;: xanax&lt;br /&gt;&lt;b&gt;Title&lt;/b&gt;: xanax&lt;br /&gt;&lt;b&gt;Comment&lt;/b&gt;: Very interesting site. Hope it will always be alive!
<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> xanax, <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> buy phentermine, <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> buy tramadol, <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> buy cialis, <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> buy phentermine,&lt;br /&gt;&lt;br /&gt;&lt;a href=&quot;<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> d=1&quot;&gt;<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> d=1&lt;/a&gt;&lt;br /&gt;&lt;br /&gt;This message was addressed to you because you wished to be advised new comments related to this article. You can stop subscribing yourselves while clicking on the link below:&lt;br /&gt;&lt;a href=&quot;<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> d=19753&amp;Itemid=1&quot;&gt;<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> d=19753&amp;Itemid=1&lt;/a&gt;&lt;br /&gt;&lt;br /&gt;Please do not respond to this message as it is automatically generated and is for information purposes only.&lt;br /&gt;

کسی ایده ای داره که چجوری مامبو این تعداد ایمیل را فرستاده و یا هکر چجوری در فضای من اسکریپت گذاشته
میدونین چطور میشه امنیت این مورد را تضمین کرد

سلام

به نظر نمیاد این ایمیل از طریق مامبو ارسال شده باشه !

برای حل این مشکل شما کار زیادی نمیتونید بکنید . سرور باید تغییراتی در ستینگ بده که این مشکل پیش نیاد .
الان مامبوسرور دقیقا به همینصورت ست شده و کاربرها از این لحاظ به مشکل بر نمیخورند .

یا علی

جناب فیروزمندان من این مساله را با مدیر هاست در میان گذاشتم ولی اینچنین جواب دادند
&quot;doost aziz ,
in moshkel server side nist va kamelan marboot be scriptetoon hast .
&quot;
ممکن است یک مقدار دقیقتر در مورد روش حل این مشکل توسط خودتان توضیح بدهید که بدانم که دقیقا از ایشان چه میخواهم؟
و اگر به قول ایشان مشکل اسکریپت باشد چگونه این اسکریپت وارد مامبو شده است؟

میتونم بپرسم از کجا هاست گرفتید و مدیر این هاست کیه ؟!

از ایشون بخوایید دلیلی برای صحبتشون برای شما بیارن ;) یا به شما لاگی ارائه بدن که صحت حرفشون رو تایید کنه !!

ایشون باید ارسال ایمیل توسط nobody رو غیر فعال کنه که همه مجبور به استفاده از SMTP بشن . بعد روی SMTP فیلتر بذاره که مثلا در هر ساعت بیشتر از 50 ایمیل از طرف یک سایت ارسال نشه !

مشکلشون حل میشه !

از شرکت هانور آیتی گرفتم.بسیار ممنون از راهنماییتون

اینهم جواب مدیر سرور
doost aziz ,
ostad mohtaram
in che rahi hast ke script shoma email ro ersal koneh , onvaght ma jelosh ro begirim !?
dar koja donya inka ro anjam midan ke ma ham anjam bedim ?!?!?!?!?!?
ta onja ke ma midoonim , moshkel ro bayad az rishe hal kard na ba filter gozari va ... !!! shayad savad ma nemiresad !

dooost aziz , dar server ha hannover it bish az 6 sal hast ke kasi nemitooneh ba nobody email ersal koneh !

ma niazi be taiid sehat sohbatemoon nadadrim , vali ba hame in mavared , baratoon ersal mikonim .

in ham kami biensafi az shomast ke fekr mikonin ma nemidoonim chikar darim mikonim va rahe hal ha injoori baramoon mifrestin !





&gt; Time: Sat Jul 11 19:39:24 2009 +0200
&gt; Path: /home/hjdlzlkn/public_html
&gt; Count: 51 emails sent
&gt;
&gt; Sample of the first 10 emails:
&gt;
&gt; 2009-07-11 19:36:04 1MPgUW-0006mu-73 ** goux_1997@lycos.com
&gt; F=&lt;hjdlzlkn@pr1-1.hannoverit.com&gt; R=lookuphost T=remote_smtp: SMTP
&gt; error from remote mail server after RCPT TO:&lt;goux_1997@lycos.com&gt;:
&gt; host rmail.lycosmail.lycos.com [209.202.254.41]: 550 5.1.1 RUSR 174.132.180.34:
&gt; No such user: &lt;goux_1997@lycos.com&gt;
&gt; 2009-07-11 19:36:04 1MPgUW-0006ne-Hr &lt;= hjdlzlkn@pr1-1.hannoverit.com
&gt; U=hjdlzlkn P=local S=1666
&gt; id=0b08f9b36a429f033f4ad045cc896d03@<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> T=&quot;New
&gt; comment item on <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> from
&gt; &lt;hjdlzlkn@pr1-1.hannoverit.com&gt; for pus@softhome.com
&gt; 2009-07-11 19:36:04 1MPgUW-0006mu-73 Completed
&gt; 2009-07-11 19:36:04 1MPgUW-0006nb-HI Completed
&gt; 2009-07-11 19:36:04 1MPgUW-0006o2-OQ &lt;= &lt;&gt; R=1MPgUV-0006m9-TD
&gt; U=mailnull P=local S=2742 T=&quot;Mail delivery failed: returning message
&gt; to sender&quot; from &lt;&gt; for hjdlzlkn@pr1-1.hannoverit.com
&gt; 2009-07-11 19:36:04 1MPgUW-0006nF-Ba ** tiucyuqu@hotbox.com
&gt; F=&lt;hjdlzlkn@pr1-1.hannoverit.com&gt; R=lookuphost T=remote_smtp: SMTP
&gt; error from remote mail server after RCPT TO:&lt;tiucyuqu@hotbox.com&gt;:
&gt; host mx2.friendfinder.com [208.88.180.61]: 550 no mailbox found for
&gt; user
&gt; 2009-07-11 19:36:05 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc
&gt; 1MPgUX-0006oO-0E
&gt; 2009-07-11 19:36:05 1MPgUX-0006oa-5s &lt;= &lt;&gt; R=1MPgUV-0006lf-K5
&gt; U=mailnull P=local S=2741 T=&quot;Mail delivery failed: returning message
&gt; to sender&quot; from &lt;&gt; for hjdlzlkn@pr1-1.hannoverit.com
&gt; 2009-07-11 19:36:05 1MPgUX-0006od-7Z == hjejjeshyo@visto.com
&gt; R=lookuphost T=remote_smtp defer (-53): retry time not reached for any
&gt; host
&gt; 2009-07-11 19:36:05 cwd=/var/spool/exim 3 args: /usr/sbin/exim -Mc
&gt; 1MPgUX-0006on-Ab
&gt;
&gt;
&gt; Possible Scripts:
&gt;
&gt; /home/hjdlzlkn/public_html/CHANGELOG.php
&gt; /home/hjdlzlkn/public_html/configuration.php
&gt; /home/hjdlzlkn/public_html/configuration.sample.php
&gt;

سلام

لاگی که به شما دادن مربوط به لاگهای CSF هست .

ای کاش مدیر هاست قبل از فرستادن لاگ اون رو مطالعه میکردن . من با دلیل به شما اطمینان میدم که مشکل از سمت مامبو نیست :
در انتهای لاگ میبینید :



&gt; Possible Scripts:
&gt;
&gt; /home/hjdlzlkn/public_html/CHANGELOG.php
&gt; /home/hjdlzlkn/public_html/configuration.php
&gt; /home/hjdlzlkn/public_html/configuration.sample.php


شما تنها کافیه این 3 فایل رو باز کنید و محتویات اونها رو ببینید ;)

فایل Changelog.php :
تنها کد PHP که در این فایل هست :


&lt;?php
/**
* Changes History from Mambo
* @package Mambo
* @author Mambo Foundation Inc see README.php
* @copyright Mambo Foundation Inc.
* See COPYRIGHT.php for copyright notices and details.
* @license GNU/GPL Version 2, see LICENSE.php
* Mambo is free software; you can redistribute it and/or
* modify it under the terms of the GNU General Public License
* as published by the Free Software Foundation; version 2 of the License.
*/
// no direct access
defined( &#039;_VALID_MOS&#039; ) or die( &#039;Direct Access to this location is not allowed.&#039; );
?&gt;


میبینید که چند سطر اول هم کامنت است ! شما اثری از کدی که بتونه ایمیل ارسال کنه میبینید ؟!

فایل configuration.php &amp; configuration.sample.php:
این فایل رو باز کنید و ببینید غیر از Variables چیز دیگه ای میبینید ؟! آیا فانکشنی برای ارسال ایمیل وجود داره ؟!


روشی که در پست قبل اشاره کردم حل ریشه ای این مشکل هست ! این روش ربطی به ***** یا ... نداره
در مورد این صحبت این دوست عزیزمون که &quot;dar koja donya inka ro anjam midan ke ma ham anjam bedim ?!?!?!?!?!?&quot;
باید بگم این روش اونقدر رایج هست که یکی از موارد اضافه شده در تنظیمات دیفالت WHM است ! و در حال حاضر اکثر هاستینگ های معتبر از این روش استفاده میکنند .

باید توجه داشته باشیم ارسال ایمیل بدون authentication واقعا درست نیست ! موردی که در سرور شما وجود داره و یک اشکال به حساب میاد !


در هر صورت بهتره بحث رو در این انجمن تمام کنیم .... ما مسئول حل مشکل سرور های دیگه نیستیم .

اون لاگ و 3 فایلی که در انتهای لاگ هست رو شما به هر شخصی که فقط موارد ابتدایی PHP رو بلد باشه نشون بدید قطعا لبخند میزنه ;)


یا علی

من فایلهای داخل هاست را کپی کردم و با یک برنامه مقایسه کننده پوشه جدید و پوشه ای که قبلا روی لوکال ساخته بودم را با هم مقایسه کردم و تفاوتهایش را کپی کردم و اینجا گذاشتم



<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>

به نظر نمی آید این فایلها اسکریپتی را اجرا کنند!
آیا امکان دارد در بانک اطلاعاتی اسکریپت مخربی باشد؟
یا امکان دارد که تغییر در فایلها به صورتی باشد که حجم آن را تغییر ندهد و مقایسه کننده متوجه آن نشود؟

سلام

این مورد رو لطفا با پشتیبانی هاستینگ در میون بذارید
در پست قبل دقیقا براتون توضیح دادم دلایلی که پشتیبانی هاستینگ برای شما ذکر کرده اشتباه - غیر منطقی و غیر اصولی است ..


متاسفانه بحث شما کاملا خارج از مباحث انجمن هست .

یاعلی