Спам через сайт на Joomle - Безопасность сайтов на Joomla

Сегодня мне пришло письмо от хостера следующего содержания:

==============================================================

Вас приветствует компания .masterhost!

Уведомляем Вам о том, что Вашими скриптами с домена
nltravel.ru рассылается большое количество почтовых
сообщений. Мы были вынуждены заблокировать возможность
запуска PHP-скриптов.

Пример письма:

Received: (qmail 89076 invoked by uid 2000); 25 Sep 2006
19:12:17 -0000
Date: 25 Sep 2006 19:12:17 -0000
Message-ID: <20060925191217.89075.qmail@be34.masterhost.ru>
To: dfchaves@nutecnet.com.br
Subject: Video da Daniella Cicarelli e Tato Malzoni na praia
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: UOL <noticias@news.uol.com.br>
Cc: noticias@news.uol.com.br


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html;
charset=windows-1252">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY>
<H1><FONT size=5>Video da Daniella Cicarelli e Tato Malzoni na
praia</FONT></H1>
<DIV
style="FONT-SIZE: 11px; WIDTH: 398px; HEIGHT: 28px; TEXT-ALIGN:
center"><EM><FONT
color=#ff0000 size=2>Veja os boatos sobre o suposto vМdeo da
Daniella
Cicarelli
divulgado no YouTube</FONT>.</EM><BR></DIV>
<P><FONT
size=3><BR></FONT>===========
<IMG height=245
src="http://www.sarkhanian.com/movies/download/videos/DC_arquivos/danielle.j
pg" width=291 border=0></P>
<P align=justify><FONT size=2>Segundo notМcias que circulam
na internet,
</FONT></P>
<P align=justify><FONT size=2>existe uma vМdeo que mostra
Tato Malzoni e
<SPAN
id=a13nb>Daniella Cicarelli</SPAN> fazendo sexo explМcito em
uma praia da
Espanha.</FONT></P>
<P align=justify><FONT size=2>=A notМcia da <A
href="http://noticias.uol.com.br/uolnews/celebridades/"
target=_blank>UOL
News</A> afirma que o vМdeo teria 4,36 minutos e que o fato
aconteceu dentro
da
Аgua.</FONT></P>
<P align=justify><FONT size=2>A existЙncia de um vМdeo com
as cenas jА setА
comprovada, basta saber se И realmente Daniella
Cicarelli.</FONT></P>
<P align=justify><FONT size=2>Procurada pela redaГЦo da UOL,
a assessoria da
Cicarelli nЦo retornou as ligaГУes feitas. </FONT></P>
<P align=justify><FONT size=2>Assim que a Cicarelli
responder a imprensa,
colocaremos maiores informnaГУes no site.=</FONT></P>
<P align=justify><FONT size=2>O vМdeo estava armazenado no
YouTube, mas jА
foi
removido do ar. Clique no link abaixo para ver os vМdeos que
existiam no
YouTube.</FONT></P>
<P align=justify><FONT
size=2>=================================================================
</FONT><FONT color=#ff0000 size=3>Veja Aqui o Video:</FONT></P>
<P align=justify><FONT color=#ff0000
size=3>=============================
</FONT><A
href="http://www.sarkhanian.com/movies/download/videos/Cicarelli.exe"><FONT
color=#0000ff
size=3>http://www.globo.com.br/imagem/video/Cicarelli</FONT></A></P>
<P align=justify>=</P>
<P align=justify>=</P>
<P align=justify><FONT size=2><A
href="http://www.uol.com.br/p3">Anuncie no
UOL</A><A
href="http://click.uol.com.br/?rf=hu_ass_footer&u=http://www.uol.com.br/p4">
Assine
UOL</A><A href="http://www.uol.com.br/ri">RelaГУes com
Investidores</A><A
href="http://www.uol.com.br/p8">SeguranГa e privacidade</A><A
href="http://www.uol.com.br/p6">Sobre o UOL</A><A
href="http://www.uol.com.br/p10">Trabalhe no UOL</A></FONT></P>
<DIV id=copyright
style="WIDTH: 817px; HEIGHT: 19px">===========================
<FONT color=#0000ff>1996-2006 UOL - O melhor conteЗdo. Todos
os direitos
reservados</FONT> </DIV>


Ждем Ваших комментариев.

======================================================================


Естественно никаких рассылок порносайтов я не производил, а кто то произвел за меня. Товарищи прошу ваших комментариев по этому поводу? Стоит Joomla 1.0.10 Paranoia. На сайте andyr.mrezha.ru я прочитал: "Все изменения, которые в настоящее время происходят в оригинальном дистрибутиве 1.0.1х версии я отслеживаю и и по ним делаю следующий вывод:
 - никаких "исправлений ошибок, угрожающих безопасности" я там не вижу". Так что как я понимаю вплане безопасности на сайте установлена последняя версия.

Возможно дело в том, что в phpmailer не проверяется наличие в $From переноса строки. Если действительно так, то при передаче специально созданного значения можно записать в заголовок Cc или Bcc дополнительные значения мыл и таким образом разослать спам.

На практике на joomla я не проверял. Но в некоторых других системах такое встречалось.
Точнее заключение могут дать гуру

Если в твоем проекте использование email не критично , отключи его в настройках.
Свяжись с автором паранои,
Установи Joomla 1.0.11

а ты возьми, да спроси - каким именно скриптом?

Уважаемые спецы! Проблема осталась не решенной
  "...Ваш сайт закрыт за рассылку спама. Это является нарушением правил
    нашего договора. Скорее всего спам был разослан через формы
    обратной связи которые возможно находятся на вашем сайте,
    используя "bcc" скрытые копии отправили более 10000 писем, что
    создало нагрузку на сервере..."
Пожалуйста ответьте, что делать, где рыться?

Пожалуйста ответьте, что делать, где рыться?

скорее всего вам залили троян, советую поизучать логи сервера, поискать лишние или модифицированные файлы...

Так я ж и говорил - узнать у хостера, какой именно скрипт делает рассылку.