При отправке писем средствами php как правило в качестве MTA используется sendmail далее обработкой писем занимается уже почтовый сервер.
Настраивая очередную систему, предназначенную сугубо под хостинг сайта я подумал — есть ли вообще смысл поднимать на этой машине собственный почтовый сервер — и пока воздержался от его установки.
Но при тестировании отправки писем скриптом через php обнаружилась проблема с отправкой писем на адреса xxxxxx@ngs.ru — на мой тестовый ящик на этом сервере письма не дошли.
В чём трабла ?
Врубаем параметр LogLevel=13 в /etc/mail/sendmail.cf снова пробуем отправить и наблюдаем логи /var/log/maillog
в которых и выясняется причина облома
Helo command rejected: need fully-qualified hostname
Почтовику не понравилось как мы с ним поздоровались «need fully-qualified hostname»
Ставим реальный hostname=”my-domain.ru” в /etc/rc.conf
Так же проделываем это командой hostname
Перезагрузка — снова тест — и снова облом.
Делаю вывод, что здоровается сервер не хостнеймом, а непонятно чем, и видимо это должно быть прописано в настройках sendmail…

в конфиге sendmail.cf обнаружил такие строки
# my official domain name
# … define this only if sendmail cannot automatically determine your domain
#Dj$w.Foo.COM

Раскоментируем последнюю строчку и заменяем на #Dj$w
Проверка — пашет.

Не сразу настроил хост vmware esx как мне нужно было, поэтому на случай рецедива для себя решил памятку чиркнуть (может кому пригодится):
Сразу оговорюсь, что все операции мне нужно было сделать без физического доступа к удалённому серверу (т.е. без локальной консоли)

Итак, по умолчанию сервак у меня встал с dhcp — нужно поставить статику, для этого нужно рутом попасть в консоль.
Поехали:

1. Настраиваем ssh root доступ к хосту VMWare ESX

В интерфейсе управления виртуалкой (цепляемся VSphere клиентом на машину) идём в закладку Local Users & Groups — там добавляем юзера и кидаем в нужные группы.
Всё — по ssh уже этим юзером можно цепляться.
В принципе на этом можно остановиться и работать через su — так будет более правильно с соображений безопасности.
Но кому всё таки нужно рута, делаем следующее:
nano /etc/ssh/ssh_config
ищем там запись и правим так
RermitRootLogin yes
/etc/init.d/sshd restart

2. Настраиваем статический IP на хосте VMWare ESX

Если быстро то делается это командой

esxcfg-vswif -i 192.168.11.154 -n 255.255.255.0 vswif0

Если руками — то настройки лежат тут
/etc/sysconfig/network-scripts/ifcfg-vswif0

можно добавить соответственно
IPADDR=192.168.11.154
NETMASK=255.255.255.0
BROADCAST=192.168.11.255

и ребутнуть сеть
/etc/init.d/network restart

Если Кратко:

Вбиваю (на работе) в Яше запрос энергоаудит — в выдаче на 1м месте!
Тот же запрос из дома показывает 11ю позицию!

Чистим куки (на работе) — тот же запрос — 9е место!

Так то!

Зарегал новый ящик, имхо так запоминаться лучше будет да и в целом правильнее 🙂
GTAlex.ru[доберман]gmail.com
а вообще завтра сделаю че нить типа mail[спаниель]gtalex.ru — так ещё правильнее!
сам ящик подумаю ещё как назвать, а то mail — как то банально

Снова сработал «поставок» установленный на ранее взломанном сайте.
На этот раз у хакера цель уже другая — подбор пароля к wordrpess сайтам (работа с другими движками аналогична) через уже взломанный сайт (мой).
В данном случае «бомбят» сайты расположенные на доменах 3его уровня вида *.com.au
(добавлено чуть позже, когда ещё один постовок сработал: «бомбят» вообще всё подряд — похоже базу доменов прочекали на признаки WP и теперь бомбят)
Поставок простой — при «закидывании» через POST запрос какого либо задания — оно не выполняется, как хотел бы того злоумышленник, а сохраняется для дальнейшего его анализа мною.
Кому интересно — скрипт к посту прилагается — изучайте (подозреваю мой сайт ломали таким же способом)
До кучи скину 3 разновидности скрипта, занимающиеся поиском и взлом «соседей» по хостингу (в случае плохой защищённости, например отсутствия OpenBaseDir).
host-hack-1.php
host-hack-2.php
host-hack-3.php
Т.к. все эти скриптики мне кинули добровольно, причём с не добрым умыслом — думаю имею моральное право их обнародовать 🙂

Ну и сам внедрённый post.php через который и кидаются на исполнение все вышеобозначенные скрипты ( не правда ли — очень простой 🙂 )

Далее цепочка думаю понятна — сайт ломается, в него внедряется post.php — и сам сайт становится звеном для взлома других. Далее всё работает в бесконечном цикле подменяя массив паролей.
Параллельно можно на взломанных сайтах подменить htaccess для сбора мобильного или поискового трафа, можно доров туды залить и через TDS уже тематический траф слить куда-нить, можно …….. в общем чего «выжать» с рабочих сайтов думаю вариантов куча

Ну вот — спалил рабочую тему зачем-то.

Заказчиком была поставлена задача модернизировать фотогалерею объектов, раньше просто была тумба на все объекты — количество их расло а пагинацию делать не хотели.
Придумали сделать прокруткой превьюшек в одну строку с возможностью увеличения для детального просмотра — т.е. добавить возможности слайдера оставив функционал галереи.

Довольно долго шарил в поисках подходящих вариантов, нашел кучу слайдеров — из них 2 особо приглянулись, много интересных реализаций, которые могут пригодиться в разработке:

• coolcarousels
• wowslider

(потыкайте на примеры в обоих — там интересно)
Уже решил остановиться в поисках и оставить один из приведённых выше слайдеров (без увеличения картинок — в принципе в обоих есть просмотр увеличенных фоток по контейнеру, но хотелось бы открытие в модальном окне по всей ширине окна), на всякий случай задал вопрос на Joomlaforum.ru, где добрый человек посоветовал ignitegallery
Сайтик у заказчика на Джумле + горизонтальный слайдер превью + возможность подписи фотографий + детальный просмотр фоток в модальном окне = 100% попадание

Интересующимся — несколько заметок в напутствие:
* плагин платный 40$ — демо скачивать не дают, на форуме не помогли, поэтому искал в сети … нашел архив с хорошей инструкцией тут
* возникла проблема с загрузкой фоток — решение тут
* при размещении галереи в материале — «дрожали» превьюшки — решение тут (ещё css контейнера материала на них применился — пришлось задать класс и сбросить)
* далее по настройке — курим офсайт

P.S. Результат моих стараний.

Заголовок статьи специально старался придумать максимально похожий на вопрос который задают Яндексу владельцы сайтов, вроде:
«почему сайт не показывает его сайт по интересующим его запросам» (специалистам можно дальше не читать)

Не буду терзать теорией и сложностями … просто хочется плакать, когда роешь пол-дня в поисках чего нить очень нужного — чисто случайно выходишь на какой нибудь отличный тематический сайт! чистый СДЛ с хорошим дизайном … и даже уникальными тематическим текстом НО ! в тайтле которого висит тупо «главная» или ООО «Рога и Копыта», в заголовках H1, H2 что нить вроде «Каталог» «Новости» и прочая навигационная хрень …

Господа владельцы сайтов — обратитесь к любому SEO оптимизатору, не пожалейте несколько тыс.руб. за единожды выполненную работу — проведение поискового аудита сайта, с дальнейшем наведением порядка на сайте (это может делать уже любой веб-мастер) — уверен не прогадаете !

Особенно полезно если «ниша» не сильно конкурентная, да ещё и сайт региональный (не Москва и Питер) — например я вывел в ТОП несколько сайтов вообще без ссылочного бюджета — просто за счёт внутренней оптимизации.

Понадобилось мне знать о появлении новых твитов одной ленты — почему то мобильные уведомления в самом твиттере не сработали, вроде всё правильно указал…
Пришлось быстренько сваять скриптик и запихать его в крон —
вообще скрипт кидает на почту, но врубил себе СМС туннелирование — собственно кидаю себе СМС через почту…
В общем может кому пригодиться —
( 791300000000@sms.mtslife.ru заменить на свой емейл, usertwitter — на нужную ленту)

В продолжение постов Мобильное телефонное мошенничество — подписки через интернет
и Телефонные мошенничества — сотовые компании в доле!)

О детальном механизме — часть первая и возможно последняя, т.к. пока не знаю точно, как именно осуществляется подписка.
НО готов поделиться опытом — как с более-менее белых сайтов СКРЫТНО мобильный трафик перенаправляют на сайты где непосредственно и происходит заражение.

Итак — заходим браузером на wap.infan.ru — наблюдаем в футере такую картину.

При обновлении странички — ссылки проставляются разные, НО сколько я бы не обновлял страничку тех ссылок, что я видел при открытии данной странички в браузере мобильного телефона я так и не увидел!!!
А ведь очень хочется просмотреть весь путь оформления платной подписки без моего ведома!

Ну раз хочется, придётся чуть-чуть схитрить.
Захожу телефоном на собственный сайт — смотрю в логах поле USERAGENT.

SAMSUNG-SGH-D900/1.0 Profile/MIDP-2.0 Configuration/CLDC-1.1 UP.Browser/6.2.3.3.c.1.101 (GUI) MMP/2.0

Лабаю скриптик на PHP где подставляю юзерагента параметром CURLOPT_USERAGENT в метод объекта класса библиотеки CURL
ТЕПЕРЬ смотрим сайт глазами моего телефона
Пока можно кликнуть по ссылке — безопасно, а вот дальше на вновь ПОЯВИВШИЕСЯ рекламные ссылки кликаем уже на свой страх и риск !
По крайней мере у меня антивирусник упорно не даёт перейти по ним.
Анкоры ссылок весьма привлекательны:

~Игpы нa тeлeфoн — Бecплaтнo~
~Opera Mini 7.3 NEW! Cкaчaть Бecплaтнo!~
~Бecплaтныe зaгpyзки!~
~Лyчшaя Эpoтикa(995000)!~
~Бecплaтнaя Эpoтикa~
~Tyт 100% Бecплaтнo~
~3дecь Бecплaтнo Bcё~
~Moбильныe java-игpы. Бecплaтнo!~

Сами ссылки завуалированы под внутренние, вида infan.ru/lnk/?2518 ( этот линк к анкору ~Бесплатные загрузки~ ).
При переходе по которым уже выполняется редирект на целевую страничку — вирус.

Такая схема показа разного содержимого для разных пользователей называется клоакинком, и в данном случае используется для скрытия мошеннических ссылок при просмотре сайта браузером.

Так же недавно столкнулся с сбором мобильного трафика путём взлома «белых» сайтов, в моём конкретном случае подменяли htaccess — там анализом юзерагента вычисляли мобильный трафик и перенаправляли его на зараженные сайты.

Что больше всего поразило — это когда на зараженный сайт я вышел с рекламного блока на условно-бесплатную программу на Android смартфоне. А-ля «Обнови Skype» … обновил блин …
То есть злоумышленники помимо взломов просто реально скупают трафик выступая в роли заказчика на официальных биржах!

Собственно, осталось самое интересное — понять как именно попав на сайт злоумышленника происходит подписка — заражением ли, либо проходом по ссылки, или ещё как …

Лично я попался на ссылке wap.infan.ru/lnk/?2449 — при переходе на неё браузером редирект на awap.in/cat/index26.php и тут антивирус меня блокирует.
При заходе мобильником в конечном итоге попадаю на страничку wapvten.ru/catalogue/?26 где и заманивают скачать зловредное ПО — скачивается JAVA приложение, которое и активирует подписку (а может сам факт скачивания уже активирует — не знаю, будем исследовать).

Причём при попытке зайти браузером на эту же страницу wapvten.ru/catalogue/?26 ещё куда то редиректит

Используя подмену юзерагента можно посмотреть то, что выдаётся на мобильный .

По переходу по любой ссылке со словом «скачать» мобильнику выдаётся следующий конент

Который собственно инициирует скачивание JAVA приложения в телефон… Ну а раз скачал — конечно же нужно запустить! (и тем самым активировать подписку)

В общем скачал я мобильником это jar — пока никаких СМС не приходило.
Видимо всё таки активирует подписку именно сама программка (а не факт перехода по ссылке или скачивания её) если так то можно попробовать декомпилировать …
Попробую запустить чуть позже (дам время прийти СМС если вдруг она запаздывает).
Так же думаю подойти к вопросу с другой стороны — пошарить по теме на хакерских сайтиках/форумах — возможно там будет уже готовый ответ.

Добавлено позже:
Файл я не запустил, а СМС о добавлении услуги пришло!!!

Итак, продолжим (начало в предыдущем посте Телефонные мошенничества — сотовые компании в доле!)

Обычно телефонные мошенничества предполагают отправку платной СМС либо ввод номера телефона и подтверждающего кода, пришедшего по СМС, либо совершение звонка на платный номер.
Всё это делается под разными уловками, предлогами и т.д.
НО !!! человек отправляет, принимает и вводит код, звонит САМ (о том, что у него на тот момент в голове — умолчим) — важен ФАКТ!
«Не знал о цене, не прочитал, был не правильно проинформирован, введён в заблуждение, обманут» — неважно, ВАЖНО ТО, ЧТО это было сделано человеком лично И осуществлённое действие можно посмотреть в детализации его разговоров — входящее либо исходящее СМС, либо звонок на платный номер.

Собственно, первое что я сделал — конечно же заказал детализацию — ведь даже если это сделал какой то вирус или другое вредоносное ПО — это действие должно отразиться в детализации!
НО к моему удивлению ни СМС, ни звонков на номера в периоде когда я юзал интернет и получил СМС о подключении услуги — не было !!!

Получается, что у мошенников есть инструмент оформления подписки без подтверждения СМС-кой!!!

Грубо говоря я могу написать программку для своего мобильника, которая сможет меня подписать на какую то услугу без отправки смс или звонка с телефона …
правда не могу понять КАК ?!!!

Очень хотелось бы получить информацию о таких возможностях у сотовых операторов — ведь подобные моменты оговариваются именно с ними — техническая возможность подписки предоставляется именно оператором. НО! попытки узнать эту информацию у сотрудников МТС не увенчались успехом…

А может и программки никакой не нужно — например, если переход по ссылке считать подтверждением подписки. Но тут злоумышленник опять же должен быть в сговоре с мобильным оператором — ведь подписка должна быть осуществлена по моему номеру — и каким то образом мошенник этот номер узнаёт и уже потом каким то образом передаёт информацию МТС-у о включении услуги.

О данных механизмах остаётся только гадать, т.к. все мои розыски информации на эту тему пока не принесли успеха…
Очень интересует момент получения выгоды мошенником! Ну сделал вирусный сайт — нагнал мобильного трафика — подписались ХХХ человек на платные подписки — деньги получили Контент менеджер и сотовый оператор. Как далее контент менеджер делится непосредственно с исполнителем — главный вопрос!
Если что «нарою» в процессе своего расследования — обязательно выложу.

В следующей статейке, расскажу о мобильном клоакинке (открывая сайт телефоном — видим ссылки ведущие на сайты с вирусом, который и осуществляет подписку, открывая эту же страничку в браузере компьютера — видим только мирные и хорошие ссылки) — собственно, этот механизм был задействован в разводе меня на подписки 🙂