Спамеры через плагин YandexMarket рассылают спам

Добрый вечер!

Перестали приходить письма клиентам в магазине, полез в логи exim посмотреть в чем дело. Оказывается мой ip был добавлен в блэклист.

В логах помимо уведомлений клиентам был целый ворох отклоненных сообщений с ящика которого у меня даже нет, типа admin@localhost.

через команду

mailq

посмотрел очередь писем, а через эту команду

exim -Mvb 1fQZuu-0005I2-9l

увидел такое вот сообщение

--1528297204-eximdsn-1924779521
Content-type: text/plain; charset=us-ascii

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  admin@localhost.example.com
    Unrouteable address

--1528297204-eximdsn-1924779521
Content-type: message/delivery-status

Reporting-MTA: dns; pronogti.ru

Action: failed
Final-Recipient: rfc822;admin@localhost.example.com
Status: 5.0.0

--1528297204-eximdsn-1924779521
Content-type: message/rfc822

Return-path: <admin@pronogti.ru>
Received: from admin by pronogti.ru with local (Exim 4.86_2)
        (envelope-from <admin@pronogti.ru>)
        id 1fQZuu-0005Hv-4a
        for admin@localhost.example.com; Wed, 06 Jun 2018 18:00:04 +0300
From: root@pronogti.ru (Cron Daemon)
To: admin@localhost.example.com
Subject: Cron <admin@pronogti> php /home/admin/web/pronogti.ru/public_html/cli.php shop yandexmarketPluginExport 9
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Cron-Env: <MAILTO=admin@localhost.example.com>
X-Cron-Env: <CONTENT_TYPE=text/plain; charset=utf-8>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/home/admin>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=admin>
Message-Id: <E1fQZuu-0005Hv-4a@pronogti.ru>
Date: Wed, 06 Jun 2018 18:00:04 +0300

Автоматическое формирование профиля 9.
Время выполнения:       00 ч 00 мин 02 с
Потребление памяти:     4.529 МБ
Экспортировано:
        190 категорий
        180 товарных предложения

--1528297204-eximdsn-1924779521--

Короче злые дядьки как то встроили свой скрипт в плагин экспорта маркета, и он по CRON в моем случае каждые 30 мин пытается разослать уведомления. Я посмотрел в плагине ничего не вижу вредоносного, может вы подскажете где искать. Могу конечно его удалить и поставить заново, но вдруг дело не в нем.

Буду благодарен за совет. Спасибо!


1 ответ

  • 1

    Скорее всего, дело не в злых дядьках, а в добром админе, который хотел быть в курсе всего, но не доделал и бросил на пол пути. Не знаю как это делается через разные панели, но если вы откроете перечень заданий cron из командной строки, то увидите там запись приблизительно такого содержания

    MAILTO=[тут некий адрес EMail]

    Собственно, эта запись говорит следующее: если в результате работы команды появились какие-то сообщения, то отправить их по указанному адресу. Т.к. в результате работы команды для маркета вы всегда получаете текст вида

    Автоматическое формирование профиля 9.
    Время выполнения:       00 ч 00 мин 02 с
    Потребление памяти:     4.529 МБ
    Экспортировано:
            190 категорий
            180 товарных предложения

    то он и шлет все это дело на почту.

    Думаю дело если не прямо в этом, то очень-очень близко. Ну это навскидку, плотно не изучая вопрос и опираясь только на предоставленные вами данные.

Добавить ответ

Чтобы добавить комментарий, зарегистрируйтесь или войдите