Traffico email temporaneamente bloccato

[sportage2011]

Buongiorno a tutti,
ultimamente ricevo almeno 2-3 volte per settimana una mail di notifica con questa dicitura

"Traffico email temporaneamente bloccato"

Gent. Webmaster,

durante le ultime 24h abbiamo rilevato un flusso anomalo di emails inviate dal tuo sito.
Questo può essere dovuto alla presenza nel tuo spazio web di applicativi (forum, blog, CMS...) affetti da problemi di sicurezza e utilizzati da terze parti per inviare spam.

Al fine di prevenire abusi di servizio l'invio di email dal tuo sito è stato temporaneamente bloccato, il nostro intervento è mirato a tutelare non solo la sicurezza del tuo sito web ma anche quella della comunità stessa di internet, in quanto una porta aperta agli spammers rappresenta un danno per tutti.

Ti preghiamo quindi di:

1) Controllare ed eventualmente aggiornare i tuoi applicativi alle ultime versioni
2) Modificare la password d'accesso al tuo sito e verificare che non sia in possesso di altri
3) Verificare che il tuo PC non sia affetto da virus/worms

_________

Vorrei sapere se è capitato a qualche altro Amministratore, se ne sapete la causa e come avete eventualmente risolto.

Grazie di cuore.

[karl94]

Ti preghiamo quindi di:

1) Controllare ed eventualmente aggiornare i tuoi applicativi alle ultime versioni
2) Modificare la password d'accesso al tuo sito e verificare che non sia in possesso di altri
3) Verificare che il tuo PC non sia affetto da virus/worms

Nel tuo spazio web c'è qualcosa che, inviando spam, ha causato il blocco.
Esegui tutti questi passaggi con attenzione, in particolare aggiorna il forum e controlla di non aver file PHP strani nel tuo spazio web.

Solo dopo aver eliminato la causa del problema richiedi lo sblocco inviando una mail all'abuse.

[sportage2011]

Nel tuo spazio web c'è qualcosa che, inviando spam, ha causato il blocco.
Esegui tutti questi passaggi con attenzione, in particolare aggiorna il forum e controlla di non aver file PHP strani nel tuo spazio web.

Solo dopo aver eliminato la causa del problema richiedi lo sblocco inviando una mail all'abuse.

Abbiamo aggiornato la piattaforma ed eliminato uno script php malevolo scoperto per via di una data sospetta.
Ora però non abbiamo strumenti di diagnostica, né accesso a shell o system logl. Non abbiamo modo di risolvere.
Potete darci una mano, qualche informazione in più, un accesso shell, altro?

[sportage2011]

Qualcuno degli Amministratori è in grado di aiutarmi a risolvere il problema oppure devo trasferire il forum via da Altervista ?

Il problema è serio e continua a ripresentarsi ogni 3-4 giorni, ho fatto tutto quanto richiesto ma non è servito a nulla, dovete intervenire Voi.

[Amichetraifornelli]

Anche io ho lo stesso problema ormai da mesi ho aperto anche io una discussione simile dopo le prime risposte che mi hanno dato più nulla il buio e ancora oggi ho il problema!

[sportage2011]

Allora deduco che dipende da Altervista (e non sanno ancora dove mettere le mani), altrimenti ci avrebbero aiutato a risolvere il problema . . . ma che bella cosa . . .

[Gianluca]

sportage2011:

come puoi immaginare non è possibile darti accesso ai server, in ogni caso è corretto che il traffico email del tuo sito sia stato bloccato perché attualmente sta inviando spam attraverso uno script malevolo:

/styles/TMOL/imageset/plu***.php

Devi rimuoverlo e cambiare tutte le credenziali di accesso, verificando bene che non vi sia altro malware nel tuo spazio web altrimenti il problema si ripeterà

amichetraifornelli:

ti ho replicato qui: http://forum.it.altervista.org/probl...i-rticoli.html

[sportage2011]

Ci provo, grazie Gianluca ;)

[sportage2011]

niente da fare.
così è impossibile individuare le injection: non abbiamo strumenti.
Ho anche installato una shell php per vedere se per lo meno fosse possibile fare qualche ricerca sui file ma le varie exec() shell_exec() sono giustamente inibite.

Abbiamo le mani legate sono 4000 e passa file come facciamo in ftp ad analizzarli tutti?

Dateci degli strumenti per proteggerci. Questa è una grossa pecca per Altervista. Il servizio sarà gratuito ma basa una falla per rendere inutile il lavoro di anni

[sportage2011]

ho scaricato tutti i file, ho cercato e verificato tutti i preg_replace(), eval(), base64_decode() e stringhe strane \x0
Nulla di strano eppure ancora tutto bloccato.

é possibile avere accesso ai log (errori, mail,mod security)?

[sportage2011]

provato anche un exploit di phpbb..

[saitfainder]

Nulla di strano eppure ancora tutto bloccato.

Strano perché sabato 7 dal tuo sito sono partite solo 184 mail, quindi non dovrebbero esserci stati blocchi. E anche ieri siamo a quei livelli.

Però vedo che il 5 sono partite 1000 mail (con conseguente blocco) che sembrerebbero legittime. Non è che mandi delle newsletter dal tuo forum? O non è che c'è stato un qualche bot che si è registrato e ha mandato messaggi privati un po' a tutti?

[sportage2011]

Non ci è mai arrivata nessuna segnalazione a riguardo, è sicuramente da escludere . . .

A volte capita di dover inviare circolari collettive utilizzando messaggi privati agli utenti registrati, dall'inizio dell'anno ne ho inviate inviate al max 2 o 3 . . . abbiamo oltre 5.400 iscritti sarebbe una cavolata se la causa fosse questa . . . ma sicuramente non è così, perchè i blocchi in norma si verificano 2 o 3 volte alla settimana . . .


Ho appena controllato, il 5 ho mandato un messaggio circolare per avvisare tutti gli utenti della chiusura iscrizioni al Raduno di domenica prossima . . . e adesso come la mettiamo ???

[Gianluca]

Premesso che ospitavi un malware che inviava mail di spam, e quindi il ripetersi dei blocchi è (o almeno era) normale e necessario, se usi lo spazio web per inviare newsletter è comunque possibile incorrere nel medesimo problema data la quantità di mail inviate e di iscritti che potrebbero fare spam report.

Esistono dei tool appositi per inviare newsletter, ad esempio il tool "newsletter" di AlterVista progettato apposta, che è completamente gratuito, oppure tool esterni come mailchimp o sendgrid

[sportage2011]

Le nostre non sono newsletter ma email transazionali. Ho provato a configurare mandrill.app ma sembra inibita la connessione.
È possibile usarlo? Avrei anche modo di controllarlo.
Grazie del supporto, intanto.

[karl94]

Ho provato a configurare mandrill.app ma sembra inibita la connessione.

Hai sbloccato le connessioni server to server?

[Gianluca]

sportage2011:

dovresti essere in grado di usare l'api di mandrill, così come documentato qui: https://mandrillapp.com/api/docs/

Allo stato attuale è necessario sbloccare le connessioni server to server del tuo account come suggerito da karl, abbiamo comunque inserito nella whitelist l'host dell'api, quindi l'accesso ad esso sarà libero nel giro di 24h anche senza procedere allo sblocco.

[sportage2011]

Il problema è che non posso sviluppare un modulo per consumare i servizi di mandrill.
Semplicemente avrei configurato i parametri smtp di phpbb. Ma non funziona perché le uniche porte a cui è possibile connettersi da AV sono la 80 e 443.
È possibile abilitare una tra le seguenti: 25, 587, 2525 ?

[Gianluca]

Esistono librerie già pronte per utilizzarlo, ad esempio: http://packagist.org/packages/mandrill/mandrill
Non è solo supportato l'invio via smtp ma anche via api https

[sportage2011]

comunque va sviluppato un mod per phpbb. lascio perdere, non ho il tempo