Cele mai frecvente cauze de banale BUM-mail - vulnerabilitatea software-ului, care este folosit pe server. În cele mai multe cazuri, cauza este un CMS învechit (sistem de management al site-ului) și modulele aferente. Rețineți că atacurile rare în mod intenționat "hack" sistemul de operare. Totul este mult mai prozaic și fără vreo poveste de dragoste - "roboți" speciali scanează intervale întregi de rețele, efectuează teste pentru software învechit sau erori tipice în stabilirea regulilor de securitate. Apoi, pe baza informațiilor colectate, atacatorii încep să utilizeze găurile găsite.
În cazul unei căutări reușite a unui sistem sau a unor aplicații vulnerabile, personajul negativ poate merge în unul sau mai multe moduri:
- Utilizați un mecanism simplu pentru a trimite spam direct din CMS
- Descărcați „rootkit“ - un set de aplicații, care sunt deghizate în procese de sistem și vă permit să efectuați diverse acțiuni pe echipa atacator
- Ștergeți datele, blocați accesul la proprietarul serverului etc.
Varianta cu CMS vulnerabilă și distribuția cu PHP este cea mai simplă și mai puțin distructivă. Determinarea utilizării sale poate fi făcută din următoarele motive:
Tratamentul este simplu - blocăm în orice mod cererile din partea IP suspectă, interzicem cererile POST pentru adresele URL găsite în jurnalul serverului web, actualizăm CMS și plug-in-urile. De asemenea, trebuie să ștergeți coada de mesaje de la mesaje pentru a reduce probabilitatea blocării adreselor IP prin diferite servicii și servicii de poștă electronică. O măsură temporară poate fi, de asemenea, o interdicție cu conexiunile smtp de ieșire folosind firewall-ul, dar trebuie să acționați cu atenție - fără a elimina cauza trimiterii de mesaje, milioane de fișiere cu spam neautorizat se vor acumula în coada de așteptare.
Oprirea sistemului de poștă electronică nu rezolvă problema! Chiar dacă opriți, opriți sendmail, postfix sau exim, spamul va fi primit în coada de așteptare.
De exemplu, un exemplu recent este un script perl malicios care imită un utilitar de sistem: