Хостер уверяет, что с сайта идет спам - Безопасность сайтов на Joomla

Получили письмо от хостера:

Площадка с доменом ххх перенесена на карантинный сервер.

С площадки шла массовая рассылка корреспонденции (спам). Рассылка совершалась с помощью PHP-скрипта (см. вложение, строку X-PHP-Script).

На карантинном сервере невозможна отправка электронной почты через скрипты сайта, при этом основная почта домена (pop, smtp, imap) останется в рабочем состоянии.

Скорее всего с вашего компьютера украден FTP-пароль и вирус загружен на ваши сайты, либо файлы изменены (добавлены) через уязвимость в скриптах одного из ваших сайтов.

Мы можем выполнить очистку от вирусов. Услуга платная.

Для вашей площадки, исходя из объема работ, это составит (расчет будет произведен дополнительно). Отметим, что это только очистка. После вам надо будет обновить используемые скрипты, закрыв в них уязвимости, например, обновив вашу CMS. Либо это сможем сделать мы, если в процессе очистки поймем, что можем это сделать (об этом мы вас уведомим после проведения работ по очистке площадки).

Но вначале попробуйте бесплатный вариант. Порядок действий:

1. смените ftp-пароль https://cp.masterhost.ru/requests/change_ftp_passwd
2. закажите резервную копию https://cp.masterhost.ru/requests/get_backup
   (резервная копия поможет вам только в случае, если заражение свежее и
   произошло в последние 7-10 дней)
3. проверьте наличие посторонних файлов на вашем сайте
4. ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер
5. используйте защищенный доступ http://masterhost.ru/support/doc/ftp/#sftp

И поместили нас в карантин. Но мы спама не рассылали. Что делать?

С площадки шла массовая рассылка корреспонденции (спам). Рассылка совершалась с помощью PHP-скрипта (см. вложение, строку X-PHP-Script).

Ну и где вложение ? Искать файлы, содержащие скрипт рассылки спама.

Что делать?

Они уже написали, что делать.
Откатиться на старую резервную копию, сменить все пароли, всё обновить.
Ну либо всё чистить.

Ну и где вложение ? Искать файлы, содержащие скрипт рассылки спама.

Received: from relay-out2.shared.masterhost.ru ([90.156.200.22])
        by relay3.shared.masterhost.ru with esmtp
        envelope from <may_webster@moreveiske.ru>
        message id 1WEhCr-000LtO-HP
        for joysgood@aol.com; Sat, 15 Feb 2014 19:31:05 +0400
Received: from gen9.hs.int.shared.masterhost.ru ([10.8.3.19] helo=gen9.hs.shared.masterhost.ru)
        by relay2.shared.masterhost.ru with esmtp
        envelope from <may_webster@moreveiske.ru>
        message id 1WEhCr-000JO5-Ao
        for joysgood@aol.com; Sat, 15 Feb 2014 19:31:05 +0400
Received: from u391575 by gen9.hs.shared.masterhost.ru with local (Exim 4.80.1 (FreeBSD))
        (envelope-from <may_webster@moreveiske.ru>)
        id 1WEhCp-000NR3-Fq
        for joysgood@aol.com; Sat, 15 Feb 2014 19:31:03 +0400
To: joysgood@aol.com
Subject: Fw:  Hi there
X-PHP-Script: moreveiske.ru/modules/mod_k2_content/tmpl/xmlrpcBa0.php for 46.22.210.18, 46.22.210.18, 46.22.210.18
X-PHP-Originating-Script: 5242:xmlrpcBa0.php
From: "May Webster" <may_webster@moreveiske.ru>
Reply-To: "May Webster" <may_webster@moreveiske.ru>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <E1WEhCp-000NR3-Fq@gen9.hs.shared.masterhost.ru>
Date: Sat, 15 Feb 2014 19:31:03 +0400


<div>
<p>
save your pocket -  Liable Medic Site <a href="http://e-onestudio.com/wp-content/themes/BLANK-Theme-2/rde.html">http://e-onestudio.com/wp-content/themes/BLANK-Theme-2/rde.html</a>
</p>
</div>

Они уже написали, что делать.
Откатиться на старую резервную копию, сменить все пароли, всё обновить.
Ну либо всё чистить.

Пароли уже сменили. Обновиться не вариант. А как почистить? Я не знаю, какие файлы нужные, а какие нет.

А каким образом вообще эти файлы оказались у нас? Пароли мы не давали никому.

А как почистить? Я не знаю, какие файлы нужные, а какие нет.

Файл рассылки спама.
X-PHP-Script: moreveiske.ru/modules/mod_k2_content/tmpl/xmlrpcBa0.php
И не факт, что он один. Ищите шелл, и еще скрипты рассылающие спам.

onyeami, масса причин, от сохранения паролей в браузерах и ftp клиентах и до уязвимостей в компонентах.

Судя по Вашей реакции, сами Вы вряд ли справитесь. Либо обращайтесь к хостеру за платной услугой, либо ищите кто может это сделать.

Что за версия Joomla и что установлено? Для начала.

Что за версия Joomla и что установлено? Для начала.

2.5, Akeeba и другие компоненты, которые шли с шаблоном

И не факт, что он один. Ищите шелл, и еще скрипты рассылающие спам.

осталось понять, как их распознать.

Еще сайты на аккаунте хостинга есть?

Тогда только закрывать сайт.

Все равно через день\другой снова взломают.

Сколько лет пользуюсь Joomla, и такое в первый раз. Почему думаете, что снова взломают?

Еще сайты на аккаунте хостинга есть?

Да, есть, всего 5 сайтов было. По инфо от хостера, рассылка шла с 3, один я весь снесла, т.к. он не нужен, осталось 2, файлы, которые были обозначены хостером, удалила. Еще начала проверку с помощью ai-bolit, он написал вот что и все

[u391575@sgen5 ~]$ php ai-bolit.php
Could not open input file: ai-bolit.php
[u391575@sgen5 ~]$ php ai-bolit.php
Loaded 97167 known files
Start scanning '/home/u391575'.
Founded 36020 files in 6043 directories.
Scanning file [/home/u391575/kemmlit.org/www/images/sjcontent/6.jpg] 4549 of 36020. [Avg: 7 files/s Left: 1 h 14 m ]                                            ▒▒▒▒▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒▒▒▒: 9
[u391575@sgen5 ~]$

Скрипт рабочий, но параноик ))
А про гарантии - они зря.