افزايش ناگهاني اطلاعات روي هاست!

[parsitop]

با سلام. خسته نباشيد
من از هاست دايركت ادمين استفاده مي كنم و چند روزي است كه متوجه شده ام از طريق هاست ايميلهاي زيادي ارسال مي شود در نوبتها و دفعات متعدد و فضاي هاست حدود 200 مگابايت بيشتر از فضاي واقعي آن اشغال مي شود!!!
وقتي صندوق ايميل را پاك ميكنم دوباره به فضاي واقعي اشغال شده برميگردم ولي مشكل اينجاست كه با تغيير رمز عبور هاست و تغيير رمز عبور سايت فعال بر روي هاست باز هم اين مشكل تكرار مي شود؟!؟
لطفا راهنمايي فرماييد چگونه ميتوانم اين مشكل را برطرف كنم
با سپاس

[amin94zz]

عنوان ایمیل ها چی هست ؟
ممکنه ارور های کرون جاب ها باشه

[pardazit.net]

با سلام و عرض ادب

یکی از پلاگین ها و یا قالب شما مشکل دارد.

در اصل یک فایل مخرب باعث ارسال اسپم شده است.

[parsitop]

با سلام و عرض ادب

یکی از پلاگین ها و یا قالب شما مشکل دارد.

در اصل یک فایل مخرب باعث ارسال اسپم شده است.

چطوري ميشه شناسايي كرد؟

- - - Updated - - -

عنوان ایمیل ها چی هست ؟
ممکنه ارور های کرون جاب ها باشه

هيچ ايميلي در صندوق ايميلها ديده نميشه فقط توسط بخش POP3 email acounts ميتونم اينباكس و اسپم باكس را پاك كنم. ضمن اينكه پيامهايي هم در پنل هاست برام مياد كه نوشته بيشتر از 1000 ايميل توسط اكانت من در هر نوبت ارسال شده!!

[TARIMEHR]

ارسال ایمیل یا بصورت ریموت با کمک یوزر پسوردی که از ایمیل شما در اختیار دارند در حال انجام است. یا یک اسکریپت در هاست شما وجود دارد که این کار را انجام می دهد و یا آنکه یک کرون جاب در بک گراند این عمل را هندل می کند.

لاگ های ایمیل را بررسی کنید
مسیر Dovecot و vm-pop3 در دایرکت ادمین به شرح زیر است:

کد:

/var/log/maillog
/var/log/messages

مسیر لاگ Exim

کد:

/var/log/exim

مسیر زیر را بررسی کنید تا ببینید حجم لاگ کدام یوزر بیشتر از حالت عادی می باشد.

کد:

/etc/virtual/usage

در صورتی که از ورژن 1.41.1 یا جدیدتر دایرکت ادمین استفاده می کنید از مسیر User Level -> E-Mail Accounts -> E-Mail Usage میتوانید ارسال یوزر ها را بررسی کنید.

با کمک آنتی ویروس حتما هاست خود را بررسی کنید. در دایرکت ادمین با کمک custombuild امکان نصب clamav را دارید. پس از نصب یکبار هاست خود و یا ریشه ی home را یکبار اسکن کنید.

در صورتی که فکر میکنید این فضا در اثر دریافت هرزنامه اشغال می شود٬ از ابزارهایی مثل spamassassin نیز میتوانید جهت ***** دریافت هرزنامه استفاده کنید.

برای ارسال ایمیل هم پیشنهاد می شود لیمیت ایجاد نمایید.

[tegra]

سلام

کدهای سایت شما آلوده به تروجان و یا مالور می باشد، این تروجان باعث ارسال اسپم می شود. باید فایل های هاست خود را بررسی کنید و فایل log در داخل دایرکت ادمین را بررسی نمایید

در ادامه مسیر لاگ سرویس های مهم سرور لینوکس و دایرکت ادمین را بررسی می کنیم.

کد:

DirectAdmin:
/var/log/directadmin/error.log
/var/log/directadmin/errortaskq.log
/var/log/directadmin/system.log
/var/log/directadmin/security.log

Apache:
/var/log/httpd/error_log
/var/log/httpd/access_log
/var/log/httpd/suexec_log
/var/log/httpd/fpexec_log
/var/log/httpd/domains/domain.com.error.log
/var/log/httpd/domains/domain.com.log
/var/log/messages (generic errors)

Proftpd:
/var/log/proftpd/access.log
/var/log/proftpd/auth.log
/var/log/messages (generic errors)

vm-pop3d:
/var/log/maillog
/var/log/messages

named (bind):
/var/log/messages

exim:
/var/log/exim/mainlog
/var/log/exim/paniclog
/var/log/exim/processlog
/var/log/exim/rejectlog
(on FreeBSD, they have "exim_" in front of the filenames)

mysqld:
RedHat:
/var/lib/mysql/server.hostname.com.err
FreeBSD:
/usr/local/mysql/data/server.hostname.com.err

crond:
/var/log/cron

برای مشاهده 100 خط آخر یک فایل لاگ دستور زیر را اجرا می کنیم :

کد:

tail -n 100 /var/log/messages

همچنین برای نمایش زنده و مشاهده تغییرات آنی فایل لاگ دستور زیر را اجرا می کنیم :

کد:

tail -f /var/log/messages

[kandohost.com]

با سلام. خسته نباشيد
من از هاست دايركت ادمين استفاده مي كنم و چند روزي است كه متوجه شده ام از طريق هاست ايميلهاي زيادي ارسال مي شود در نوبتها و دفعات متعدد و فضاي هاست حدود 200 مگابايت بيشتر از فضاي واقعي آن اشغال مي شود!!!
وقتي صندوق ايميل را پاك ميكنم دوباره به فضاي واقعي اشغال شده برميگردم ولي مشكل اينجاست كه با تغيير رمز عبور هاست و تغيير رمز عبور سايت فعال بر روي هاست باز هم اين مشكل تكرار مي شود؟!؟
لطفا راهنمايي فرماييد چگونه ميتوانم اين مشكل را برطرف كنم
با سپاس

با سلام

همانگونه که دوستان فرمودند باید افزونه ها و اسکریپت های خود رو چک کنید و ببینید کدوم آلوده است و پاک کنید . اگر این کار برای شما سخت باشد می تونید درخواست بدید تا هاستینگ ، هاست شما رو فرمت کنه و مجددا سایت رو داخل هاست بارگذاری کنید . و حتما سعی کنید از افزونه های معتبر برای سایت خود استفاده کنید.

[parsitop]

در بخش message system در پنل دايركت ادمين پس از هر بار ارسال ايميلهاي زياد اين پيام مشاهده ميشه. عينا كپي كردم كه ساير دوستان هم مشاهده فرمايند:

The parsi account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/parsi.bytes file, it was found that the highest sender was parsi@server14.payamco.net, at 1167 emails.

The top authenticated user was parsi, at 1167 emails.
This accounts for 116% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.


The most common path that the messages were sent from is /home/parsi/domains/parsi.com/public_html/shop/modules/sendtoafriend, at 1001 emails (100%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

This warning was generated because the 1000 email threshold was hit.

در اين پيام مشاهده شد كه ارسال ايميلها از طرف يك ماژول كه به صورت پيش فرض در سايت نصب هست انجام شده بنام sendtoafriend . اين ماژول را غير فعال كردم ولي باز هم ارسال ايميلها انجام ميشه !؟!؟

[sazsaz]

اگر فایل ارورلاگ داری برای بررسی قرار بده
یک فایل داره برای خودش ایمیل می فرسته اونم از روی قصد و هدف هست

[TARIMEHR]

ماژول

sendtoafriend پرستاشاپ باگ امنیتی دارد و ربات های میتوانند با استفاده از این فایل اقدام به ارسال اسپم کنند.

مقدار زیر را پیدا کنید:

کد:

$('#fancybox-content').find('input').each(function(index){

کد:

تغییر دهید به:

کد:

$('#send_friend_form').find('input').each(function(index){