Как вылечить спам с сайта? - Безопасность сайтов на Joomla

Добрый день, уважаемое сообщество, подскажите пожалуйста как избавиться от спам рассылки.
На сервере в логах выяснил какой файл отвечает за рассылку спама, пока его убрал с сервера, но этот же файл отвечает и за саму почту, видимо надо что-то в коде убрать. Файл phpmailer.php, к сожалению в php я совсем нуб. Посмотрите пожалуйста на код, что тут может рассылать спам?

А зачем смотреть код? Есть сомнения- замени на такой же файл из дистра Joomla.
А вообще начни с пользователей сайта. Кто может воспользоваться рассылкой с сайта, и в каких расширениях на сайте есть рассылка.
Там же mail.log пишется и эмэйл юзера, который отсылает письмо

К сожалению, там только на какой почтовый ящик отправляется письмо, никаких юзеров там нет. Попробую сравнить чистый файл от моего, правда нашел его с более высокой версии, как вы думаете различия будут из-за того что разные версии?

К сожалению, там только на какой почтовый ящик отправляется письмо, никаких юзеров там нет. Попробую сравнить чистый файл от моего, правда нашел его с более высокой версии, как вы думаете различия будут из-за того что разные версии?

Почти никаких различий там не будет. Если найдете различия, скидывайте куски кода, мы посмотрим. Но попробуйте совет от draff - посмотрите, какие юзеры у вас могут пользоваться рассылкой. Так же рассылку могут выполнять через модули, компоненты, посмотрите, что у вас установлено.

Так ведь хостер мне четко сказал, что:


Вот именно поэтому и начал копать этот файл. Посмотрите пожалуйста код, это код как раз из этого файла, что там может рассылать спам.

То есть вы хотите, что бы мы сидели и скурпелезно сравнивали более 1300 строк кода с оригиналом? Вы думаете, кто то здесь будет этим заниматься? Вам дали совет - если есть подозрения - замените файл оригинальным из дистрибутива.

Кроме того, там функция отправки почты, которая всего лишь отправляет почту. У вашего хостера могут быть ограничения - например, не более 1000 писем в сутки, могут быть ограничения на количество писем в минуту и так далее. Уточните эти детали. Быть может произошла отсылка большого пакета, скажем 20 писем в секунду вместо 5. Хостеру плевать, что вы там отправляете - уведомления о регистрации или спам, превышение ограничений расценивается как спам и влечет блокировку почтовой рассылки.

Вы наверное меня Неправильно поняли, я не прошу сравнивать, сравнить я и сам могу, я спросил потому как надеялся, что если спам проблема частая, то может быть уже кто-то с этим сталкивался и точно знает где в коде может быть косяк. Вот и все.

Вы думаете если заменить файл оригиналом проблема исчезнет?

Но тогда вопрос, а в этом файле надо что-то дополнительно самому прописывать чтобы привязать к своему сайту, или просто взять чистый файл и через ftp на хостинг залить и все начнет работать?

Или все же надо что-то в нем прописать чтобы привязать к сайту и почте?

Я применяю проверку на авторизацию в com_mailto
п.с.
При обновлении файл mailto.php перезаписывается, так что нужно следить за наличием кода проверки на авторизацию

Только что залил новый файл, и спам опять тут как тут. Пришлось сразу же удалять этот файл опять. Сейчас попробую сделать изменения в mailto.php, как вы советуете, о результате отпишусь.

Вы что между строк читаете вам же указали файл рассылки

Проверить, рассылается ли спам с Вашего аккаунта Вы можете, просмотрев следующий файл:
/var/www/******/data/phpmail.ru

смотрите его содержание, ищите как он попал на сервер и латайте дыры на своем сайте, и чистите сайт

Вы что между строк читаете вам же указали файл рассылки

смотрите его содержание, ищите как он попал на сервер и латайте дыры на своем сайте, и чистите сайт

В том-то и дело, что я этот файл уже удалил и залил новый из дистрибутива Joomla, но как только я залил этот файл спам рассылка снова началась.

Я применяю проверку на авторизацию в com_mailto
п.с.
При обновлении файл mailto.php перезаписывается, так что нужно следить за наличием кода проверки на авторизацию

К сожалению не помогло. Изменения в mailto.php внес, но как только положил залил phpmailer.php спам рассылка началась по-новой((

Подскажите, может еще какие-то варианты будут?

Вы думаете если заменить файл оригиналом проблема исчезнет?

Я вам изначально говорил, что этот файл - всего лишь транспорт, который доставляет почту. Вы его перезалили из дистрибутива, спам опять пошел. Значит причина не в файле phpmailer.php. Но прав модератор flyingspook, хостер вам в письме дал рекомендацию проверить

Проверить, рассылается ли спам с Вашего аккаунта Вы можете, просмотрев следующий файл:
/var/www/******/data/phpmail.ru

Вот его и смотрите.

Ваша задача - выловить скрипт, который рассылает почту с помощью файла phpmailer.php.

Вот тут, извините, можно по-подробнее, а то действительно не понял. Я залил на хостинг новый файл phpmailer.php  спам продолжился. т.е. получается скрипт рассылки находится не в этом файле? Я так понял, что через этот файл, он просто отправляет почту. Т.е. грубо говоря скрипт рассылки спама находится в файле "А", от туда он передает какие-то данные на отправку в файл phpmailer.php, и этот файл является просто способом отправки переданных в него данных, сам же файл не является носителем кода с помощью которого отправляется спам. Я правильно понял?
  А каким образом тогда вычислить где находится этот скрипт? 

Вот тут, извините, можно по-подробнее, а то действительно не понял. Я залил на хостинг новый файл phpmailer.php  спам продолжился. т.е. получается скрипт рассылки находится не в этом файле? Я так понял, что через этот файл, он просто отправляет почту. Т.е. грубо говоря скрипт рассылки спама находится в файле "А", от туда он передает какие-то данные на отправку в файл phpmailer.php, и этот файл является просто способом отправки переданных в него данных, сам же файл не является носителем кода с помощью которого отправляется спам. Я правильно понял?
  А каким образом тогда вычислить где находится этот скрипт? 

Вы правильно поняли. Есть скрипт, который формирует сообщение и есть скрипт, который это сообщение доставляет. В данном случае почтальоном является phpmailer.php. Смотрите, что его вызывает, какой файл. Проверьте рекомендации хостера.

Что у вас тут: /var/www/******/data/phpmail.ru ?

Вы правильно поняли. Есть скрипт, который формирует сообщение и есть скрипт, который это сообщение доставляет. В данном случае почтальоном является phpmailer.php. Смотрите, что его вызывает, какой файл. Проверьте рекомендации хостера.

Что у вас тут: /var/www/******/data/phpmail.ru ?

Здесь вот, что и соответственно таких строк целая куча.

Как же вычислить где этот скрипт?

А может проще сканер айболит запустить. Заодно и весь сайт проверит.

Здесь вот, что и соответственно таких строк целая куча. Как же вычислить где этот скрипт?

У вас большой сайт? Может имеет смысл даже не айболитом проверять, а скачать с Joomla.org дистрибутив и залить в чистую папку, перенести ваш шаблон, компоненты, базы (пользователи, материалы, комментарии и т.д.), то есть кардинально обновить систему. Если вас взломали и засунули в код спамилку, то если и почистите, взломают опять.

Ваши действия следующие:
1. Разворачиваете сайт на локальном сервере
2. Переносите данные (шаблон, компоненты, материалы, картинки)
3. Переносите сайт на хостинг

Думаю, это будет лучше, чем искать иголку в стоге сена. Заодно обновите движок.

У вас большой сайт? Может имеет смысл даже не айболитом проверять, а скачать с Joomla.org дистрибутив и залить в чистую папку, перенести ваш шаблон, компоненты, базы (пользователи, материалы, комментарии и т.д.), то есть кардинально обновить систему. Если вас взломали и засунули в код спамилку, то если и почистите, взломают опять.

Ваши действия следующие:
1. Разворачиваете сайт на локальном сервере
2. Переносите данные (шаблон, компоненты, материалы, картинки)
3. Переносите сайт на хостинг

Думаю, это будет лучше, чем искать иголку в стоге сена. Заодно обновите движок.

Попробую, спасибо. Хотя если скрипт сидит в каком-нибудь компоненте он же, по идее, тоже перенесется?

Попробую, спасибо. Хотя если скрипт сидит в каком-нибудь компоненте он же, по идее, тоже перенесется?

нет, компоненты вы скачаете и установите заново, новые версии, перенесете только их базы.

Вобщем, пока, проблема решена таким образом. Непосредственный хозяин сайта решил, что ему ненужна никакая почта приходящая с сайта, а также он ничего с него отправлять не хочет, поэтому просто удалили phpmailer.php и на этом остановились, а жаль, хотелось бы самому разобраться как с этим бороться, ведь проблема частая. Всем огромное спасибо за помощь, действительно живой и полезный форум. Еще раз всем спасибо.

Как вариант на будущее- искать в файлах сайта создание объекта PHPMailer. И сверять файлы, с исходным кодом расширений.

Столкнулся с такой же бедой! Спам сыпется ежесекундно, скачал файловый архив сайта 3,5 ГБ, проверил айболитом.
Такой результат:
Затрачено времени: 2 h 4 m . Сканирование начато 22-05-2018 в 07:31:35, сканирование завершено 22-05-2018 в 09:36:02
Всего проверено 2683 директорий и 31951 файлов. Использовано памяти при сканировании: 10.71 Mb.
Сводный отчет
Вредоносных скриптов   21
JS Вирусов   2
Исполняемых файлов   1
Пропущенных больших файлов   550
Рекламных ссылок и кодов   6
Сравнивал с рабочей версией файлового архива от марта 2018 г. и там где были расхождения, все возвращал в "родное " состояние. В марте 2018 г. сайт работал нормально.
Хостер включил сайт и спустя 5 минут опять его выключили.
В журналах хостера такая картина:
https://cloud.mail.ru/public/AMjS/XivzhyF51
Я попробовал зайти по быстрому выключил всех пользователей кроме себя, удалил phpmailer.php,
а в журнале как шел поток спама, так и продолжался

Помогите, пожалуйста!

Лечить нужно... Этот вопрос скорее в коммерческий раздел.

Делать сайт самому с нуля, вот как!