Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Włamanie na śniadanie czyli jak (przez chwilę) zostałem spamerem

Aby utrzymać kilka domen i związane z nimi serwisy www, korzystam z zewnętrznego hostingu - lokalizacja nie jest tutaj istotna, dość powiedzieć, że na jednej z domen funkcjonuje też poczta z której, rzadko bo rzadko, ale jednak korzystam. Jakoś nigdy nie "podpiąłem" jej ani do żadnego mailera ani też nie zrobiłem przekierowania. Ot raz na jakiś czas (powiedzmy raz w miesiącu) "odpalałem" squirrel maila i sprawdzałem co tam wpadło.

Najczęściej bywało pusto, czasami zdarzył się jakiś zabłąkany newsletter aż tu pewnego dnia jak nie j..... ;) Loguję się do "wiewióry" i oczom własnym nie wierzę - skrzynka, która niezmiernie rzadko widywała mejle, teraz pęka w szwach!

Ponad 21tyś wiadomości, same systemowe o braku możliwości dostarczenia korespondencji. Miałem świadomość, że to włamanie i w pierwszym odruchu pomyślałem o haśle do tej nieszczęsnej poczty - no cóż, szybko uruchomiłem DirectAdmin i zmieniłem stare hasło choć nie było wcale takie łatwe. No ale od czegoś trzeba było zacząć.

r   e   k   l   a   m   a

Przelogowałem się aby zobaczyć czy "zwrotki" nadal spływają na to konto i, niestety, poprawy nie było. Liczba wiadomości cały czas rosła. Gwoli ścisłości - była to każdorazowo wiadomość o temacie:

Mail delivery failed:returning message to sender

Co znaczyło mniej więcej tyle, że mejl do adresata/adresatów nie dotarł i został zwrócony do nadawcy czyli w tym przypadku do mnie.

Ponowiłem poszukiwania słabego punktu, napisałem również do hostingodawcy ale jako, że godzina była wczesna nie spodziewałem się szybkiej odpowiedzi.

Odtworzyłem zawartość katalogu "public_html" tej domeny i też nic. Zwrotki nadal sypały się jak z rękawa i nie było widać ich końca. Co ciekawe, wydaje mi się, że próba wysyłania korespondencji z tego mojego przejętego konta nie była skuteczna. Dlaczego? Otóż w nagłówkach tych wszystkich zwrotek widniał "unroutable address", który jednoznacznie wskazywał, że taka wiadomość nie mogła zostać dostarczona! Próby masowego spamowania jednak trwały niepotrzebnie obciążając serwer hostingodawcy i zaśmiecając skrzynkę.

Kiedy zastanawiałem się co mogę z tym jeszcze zrobić, w panelu DirectAdmin zauważyłem kilka komunikatów o identycznej treści, jeszcze z poprzedniego dnia.

The user account has just finished sending 200 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

Znaczyło to ni mniej, ni więcej, że moje konto w tej domenie zostało przejęte już wcześniej i wysyłka spamu trwała. Co najlepsze jednak, komunikat wygenerowany przez DirectAdmin'a wskazywał jednoznacznie na przestępcę i jego lokalizację! Co się okazało, jedna z subdomen zawierała serwis w WordPress'ie, który od dawien dawna nie był aktualizowany - i to właśnie WordPress stał się celem ataku (lub jedna z jego wtyczek).

Komponent ten znajdował się w lokalizacji:

/public_html/wp-includes/Test/Diff/Engine

i zapewne został podmieniony przez spamerów. Nie pozostało mi nic innego jak na szybko zlikwidować pliki z tej subdomeny i problem przestał istnieć! Teraz wystarczyło jedynie przywrócić serwis z backupu i zaktualizować do najnowszej wersji.

Jeżeli więc w przyszłości zauważycie na swoim koncie zwrotki wiadomości typu "I earned a million dollars" ;) czym prędzej sprawdźcie czy któreś z Waszych kont nie zostało przejęte. Ku przestrodze!
 

internet bezpieczeństwo inne

Komentarze