Мой сервер спамит через постфикс от пользователя www-data.

В apache access.log:

90.156.208.121 - - [20/Jan/2014:17:24:01 +0300] "GET /treningi.php HTTP/1.0" 200 21025 "-" "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
90.156.208.121 - - [20/Jan/2014:17:23:56 +0300] "POST /public/files/__DxS_NEWDIR__a3X/nd24f62.php HTTP/1.0" 200 - "-" "-"
90.156.208.121 - - [20/Jan/2014:17:24:31 +0300] "GET / HTTP/1.0" 200 9499 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot-Mobile/2.1; +http://  www.google.com/bot.html)"
90.156.208.121 - - [20/Jan/2014:17:25:08 +0300] "POST /public/files/__DxS_NEWDIR__a3X/nd24f62.php HTTP/1.0" 200 - "-" "-"
90.156.208.121 - - [20/Jan/2014:17:25:36 +0300] "GET / HTTP/1.0" 200 9499 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 YaBrowser/13.10.1500.9323 Safari/537.36"
90.156.208.121 - - [20/Jan/2014:17:25:46 +0300] "GET /novostibankov.php HTTP/1.0" 200 28410 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 YaBrowser/13.10.1500.9323 Safari/537.36"

IP-адрес сервера 90.156.208.121. «POST /public/files/__DxS_NEWDIR__a3X/nd24f62.php» - это запрос по spambot, но он отображается с IP-адреса сервера.

Но 20/Jan/2014:17:25:46 +0300 - это мой запрос от YaBrowser, а не с сервера!

Почему с сервера показывается IP, а не мой?

Некоторые запросы отображаются не с сервера:

10.16.24.221 - - [20/Jan/2014:17:05:28 +0300] "GET /main.php HTTP /1.0" 200 9499

"http:// www.DOMAIN.ru/generatepasswordpage.php "" Opera/ 9.80 (Windows NT 6.1; Win64; x64) Presto/ 2.12.388 Версия / 12.16 "10.16.24.221 - - [20 / Jan / 2014:17:05:31 +0300] "GET /r_vse.php HTTP / 1.0" 200 14623 "http:// www.DOMAIN.ru/main.php "" Opera/ 9.80 (Windows NT 6.1; Win64; x64) Presto/ 2.12.388 Версия / 12.16 "10.16.24.221 - - [20 / Jan / 2014:17:05:42 +0300] "GET /myrich.php HTTP / 1.0" 200 11449 "http:// www.DOMAIN.ru/r_vse.php "" Opera/ 9.80 (Windows NT 6.1; Win64; x64) Presto/ 2.12.388 Версия / 12.16 "

1 ответ1

0

Согласно http://www.cvedetails.com/vulnerability-list/vendor_id-10048/product_id-17956/version_id-81261/Nginx-Nginx-0.6.32.html версия nginx, которую вы используете, может быть уязвима для удаленного кода. выполнение эксплойта, и кто-то может взломать вашу машину. Я бы порекомендовал сделать резервные копии любых важных файлов, а затем полностью переустановить ОС на VPS, чтобы удалить все черные дыры, которые могли быть размещены на вашем компьютере.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .