hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

17年1月23日(Mon) 19時28分
TOP » フォーラム » XOOPS » XOOPS一般 » 個人のドメインから架空のアドレス配信されている場合の対応について

個人のドメインから架空のアドレス配信されている場合の対応について


投稿ツリー


前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-5 12:48
phoenix 

いつもお世話になります

今回の場合は直接xoopsには関係ないかもと思いながら

有象無象のやからの投稿サイトではまともな対応策が見つけられない為

敢えて、いつもお世話になっているこちらのサイト

質問をさせて頂きます

現在お名前.comのVPS(VZ)でxoopsサイトを運営しています

ここでマルチドメインの利用をし、日本語ドメインサイトと、

メールアドレスの利用を考え、通常のドメインを利用していたのですが

リスティング広告なども行っていた関係で

商法の基準に従い 個人のアドレスをサイト情報として公開もしていました

今回、1日に数万件のスパムメールが私の日本語ドメインを利用した

架空のアドレスで配信されだしたことにより

そのすべてが配信できない為、サイト管理用のアドレスへと再度返信され

私のドメインが悪用されていることに気づいたのです

しかし、その対応策がみつかりません

現在行った事

サーバーのパスワードの変更

■rootのパスワードの変更

架空のアドレスを利用されているので意味がないとは思いながら

■使用しているすべてのメールアドレスのパスワードの変更

サーバー内に個人でUPロードした覚えのないプログラムの確認

そして、SSh接続からmailqの削除

現在でも1日に数件のメールが配信されています

サーバーの更新記録では、
templates_c内のドメイン-default-z_changeable_theme-XXXXX

class内のsmarty内plugins内modifier.xoops_tellafriend.php

※tellafriendは管理画面からも1日の送信数は設定されていますし
大量に送信された形跡は有りません

xoops_trust_path内のcacheやuploads、templates_cあたりが更新されてはいますが

なにが原因か解りません

お名前.comの管理者からは原因を解決できなければ、メ‐ルを送信可能にすることは

出来ないと言われるだけでお手上げです

mailerなどの架空配信ソフトを調べてみましたが

25番ポートを利用して外部のSMTPサーバーを指定してのメール送信はできないとしている

ので、お名前.comは、あくまでサーバー内のプログラムから

配信されていると疑っています

なにか糸口を見つける方法はないものでしょうか

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-5 18:33
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

phoenix さん、こんにちは。

当該メールがどのように送信されているかで対応が違ってくると思います。

簡単にいうとこんな感じでしょうか。まずはそのメールがどこから送信されているのかを確認してみてください。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-5 22:56
phoenix 

説明が今一つ悪かったようです

メールは勝手に利用されているというより、
From部分が偽装されていて
サーバーは私が借りているお名前.comのVSPからです

その為、ドメイン内に不信なプログラムをインストールされてしまったものかと
PHPやCGIを探してみたのですが見つけることが出来ませんでした

xoopsモジュールとしてメールの送信できるプログラムはtellafriendが
あったと思いましたが、モジュール管理から送信履歴をみても不審な痕跡は
有りませんでした

当該スクリプトを突き止め対策すると有りますが

たとえば、どのような検索方法から始めればよいか
教えて頂けると助かります

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-6 10:51
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

VPS の SMTP サーバーを不正利用されているということはないのですよね。

PHP からメール送信されているのであれば、メールヘッダに X-Mailer 行が含まれることが多いので、その行の値をみると送信に使用されているライブラリが分かるかも知れません。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-6 22:02
phoenix 

助言ありがとうございます

SPF認証についても勉強してみます

SPFレコードの設定をお名前.comでの設定と言うのがネットで掲載されてたので

みようにまねで、設定したら、ブラウザーからドメイン自体の閲覧すらできなく

成りました(笑)メール認証だけではないのですね

いろいろありがとうございました

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-12 8:38
phoenix 

私とまったく同じ文面のスパムを受けている方の投稿記事を見つけました
http://hpwb.net/1M2ZPh4
xoopsでホームページの運用
Tell a friendのモジュールを使用
xoopsの登録アドレスが利用されている点

まったく同じ環境で同じ文面のスパムです

モジュール削除したら、確かに止まりました
xoops管理からTell a friendの送信ログ管理では不自然な点はみつかりませんでしたが

プログラムに大きな脆弱性を秘めていたということでしょうか

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-12 11:56
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

Tell a friend モジュールスパムメール送信に使用されているということかな?

Tell a friend モジュールをゲストに利用可能にしている場合は、誰にでもメール送信を許可していることになるので、ある程度は想定内ということになるのですが、送信ログに記録されていないメール送信があるとすると、それは問題ですね。

私なりに調べてみますね。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-12 17:02
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

お知らせ頂いたリンク先の情報メールヘッダの From: 行が

From: ....CELLPHONE USERS WANTED (Beginners\
\
Preferred).................................................................... <support195@xxxxxx.com>

となっているのが気になりますね。何かしらの脆弱性を突いているのかも知れません。

XOOPS で利用しているメールライブラリ PHPMailer を最新版に差し替えてみるとなにか変化があるかも知れません。

PHPMailer は html/class/mail/phpmailer に配置されています。Releases · PHPMailer/PHPMailer から最新版をダウンロードし、class.phpmailer.php, class.pop3.php, class.smtp.php を差し替えれば OK です。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-12 17:47 | 最終変更
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

XOOPS 側で問題かも?という部分がありました。

xoopsmailerlocal.php を次のファイルでを差し替えてみて下さい。

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-12 20:26
phoenix 

ありがとうござます
さっそく試してみます
様子をみてまた報告致します

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2015-7-13 12:48
phoenix 

Tell a friendでのログとサーバー側のログが揃いました
記載されないメールの送信もなくなったようです
ただ、よく分からないWarningがありますが
これは、気にすべき内容でしょうか

サーバー監理画面より

Jul 13 12:19:11 mo-om clamd[27864]: SelfCheck: Database status OK.
Jul 13 12:23:21 mo-om postfix/smtpd[18115]: warning: 185.40.4.32: hostname hosted-by.hostgrad.ru verification failed: Name or service not known
Jul 13 12:23:21 mo-om postfix/smtpd[18115]: connect from unknown[185.40.4.32]
Jul 13 12:23:29 mo-om postfix/smtpd[18115]: warning: unknown[185.40.4.32]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jul 13 12:23:30 mo-om postfix/smtpd[18115]: lost connection after AUTH from unknown[185.40.4.32]
Jul 13 12:23:30 mo-om postfix/smtpd[18115]: disconnect from unknown[185.40.4.32]
Jul 13 12:26:50 mo-om postfix/anvil[18117]: statistics: max connection rate 1/60s for (smtp:185.40.4.32) at Jul 13 12:23:21
Jul 13 12:26:50 mo-om postfix/anvil[18117]: statistics: max connection count 1 for (smtp:185.40.4.32) at Jul 13 12:23:21
Jul 13 12:26:50 mo-om postfix/anvil[18117]: statistics: max cache size 1 at Jul 13 12:23:21
Jul 13 12:28:38 mo-om postfix/smtpd[18186]: connect from 62-210-188-107.rev.poneytelecom.eu[62.210.188.107]
Jul 13 12:28:41 mo-om postfix/smtpd[18186]: warning: 62-210-188-107.rev.poneytelecom.eu[62.210.188.107]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jul 13 12:28:41 mo-om postfix/smtpd[18186]: lost connection after AUTH from 62-210-188-107.rev.poneytelecom.eu[62.210.188.107]
Jul 13 12:28:41 mo-om postfix/smtpd[18186]: disconnect from 62-210-188-107.rev.poneytelecom.eu[62.210.188.107]
Jul 13 12:28:59 mo-om postfix/pickup[17655]: 93EC460148: uid=48 from=<●●@i-d-c.co.jp>
Jul 13 12:28:59 mo-om postfix/cleanup[18193]: 93EC460148: message-id=<d7f4c1133f5e069190110e9403182321@fx証券.jp>
Jul 13 12:28:59 mo-om postfix/qmgr[16041]: 93EC460148: from=<●●@i-d-c.co.jp>, size=867, nrcpt=1 (queue active)
Jul 13 12:28:59 mo-om postfix/smtp[18195]: 93EC460148: to=<●●@yahoo.co.jp>, relay=mailgw.vps.gmoserver.jp[210.172.133.171]:25, delay=0.37, delays=0.26/0/0.02/0.08, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 8F4FD1601B7)
Jul 13 12:28:59 mo-om postfix/qmgr[16041]: 93EC460148: removed
Jul 13 12:29:11 mo-om clamd[27864]: SelfCheck: Database status OK.

xoopsTell a friendログ監理

日時
2015/7/13 12:28:59

ユーザ
ゲスト180.30.251.172

IP AGENT
Firefox/39.0Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0

送信元
●●@i-d.so

宛先
●●@yahoo.co.jp

投票数:0 平均点:0.00
返信する
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2015-7-15 20:52
nao-pon  Webmaster 居住地: 愛知県  投稿数: 5701

Tell a friendでのログとサーバー側のログが揃ったということはよかったです。
対策が功を奏したようですね。

warning エラーに関しては、外部から SMTP サーバーへログインを試行されているみたいですね。
サーバーにメールサーバーを立てずに、Web サーバーからの送信のみを扱う場合は、SMTP サーバーへの接続をローカルのみに制限するようにしたほうがいいと思います。

私も、さほど詳しくはないのでご参考まで。 :-)

投票数:0 平均点:0.00
返信する

このトピックに投稿する

題名
ゲスト名
投稿本文

  条件検索へ

このフォーラムのトピック一覧
  1. お問い合わせccenterでreCAPTURE(1) nao-pon 2017-1-20 17:20
  2. Gnavi地図表示できない(3) nao-pon 2016-12-18 20:47
  3. xcl2.2で真っ白(2) addlife 2016-11-11 15:05
  4. CKEditor4 を pico で使う(5) おのむし 2016-9-7 15:15
  5. 警告文の多発について(2) ゲスト 2016-6-18 3:03
  6. CKEditor4 × gnavi × bbコード(5) nao-pon 2016-4-23 22:19
  7. CKEditor 4 が使えなくなりました(2) shinjou 2016-3-27 4:33
  8. gnavi 1.05.1 アップデート後の不具合(13) yhonda 2016-3-22 17:03
  9. 既存サイトでPHP5.6からPHP7への変更(7) shinjou 2016-3-19 4:27
  10. xoops_module_headerの中身(1) addlife 2016-3-3 18:27
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証 | SSLログイン

新規登録 | パスワード紛失



メインメニュー
ブックマーク
オンサイトブックマークは
ログインするとご利用になれます
[ログインする]
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 31 人がオンライン中 :-)
(フォーラム : 1 人)

登録ユーザ: 0 & ゲスト: 31

もっと...
サイト情報
管理人

nao-pon
 

登録ユーザ数: 4411


Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター
Amazon.co.jpアソシエイト
現在ページのQRコード
現在ページのQRコード
[携帯対応]