Нужен тот кто сможет разобраться!
Хостинг прислал такую информацию:
C вашей услуги VDS-OVZ-Улёт зафиксирована массовая рассылка почтовых сообщений. Мы подозреваем, что сервер рассылает спам, а это запрещено правилами предоставления наших услуг (https://firstvds.ru/company/documents/contract-vds-oferta, Приложение 1, раздел V).Сейчас исходящий почтовый трафик сервера автоматически заблокирован.ЭТО ЛЕГАЛЬНАЯ РАССЫЛКА?Если это легальная рассылка, то мы разблокируем 25 порт и добавим IP адрес вашего сервера в “белый” список.Для этого вам необходимо выполнить два условия:1. Ваш сервер должен быть на виртуализации KVM. Как сменить виртуализацию: https://firstvds.ru/technology/faq/openvz-kvm#shift2. Ответом на данное сообщение, отправьте детали рассылки:- Каким образом подписчики дают согласие на получение рассылки? (Согласно закону о рекламе, у вас должна быть информация о том, в какое время и с какого IP-адреса каждый пользователь дал подтверждение на рассылку. Иначе рассылка классифицируется как СПАМ)- Пример письма, где есть возможность быстро отписаться от рассылки.В случае обнаружения несоответствия полученных ответов действительности или при получении жалоб от Spamcop, Spamhaus и подобных сервисов разрешение на рассылку аннулируется.ВЫ НЕ ДЕЛАЕТЕ НИКАКИХ РАССЫЛОК?
Если не вы инициировали эту рассылку, то ваш сервер взломан.
Я ИМ ОТВЕТИЛ ЧТО НИКАКОЙ РАССЫЛКИ НЕ ДЕЛАЛ!!!
ПОПРОСИЛ ПОМОЧЬ!!!
ОНИ ОТВЕТИЛИ:
В почтовой очереди более 32 тыс писем на отправку:[root@umimart /]# exim -bpc32489Пример свежих из них:0m 1.6K 1ebmSE-00009N-Gh <
[email protected]>
[email protected] 1.6K 1ebmSE-00009Q-Hn <
[email protected]>
[email protected] 1.6K 1ebmSE-00009T-Ij <
[email protected]>
[email protected] 1.6K 1ebmSE-00009W-JS <
[email protected]>
[email protected] 1.6K 1ebmSE-00009Z-KA <
[email protected]>
[email protected]Заблокировал следующие спам-скрипты:/var/www/sergo/data/www/ehlektronik.ru/catalog/controller/event/oxhopcir.php/var/www/sergo/data/www/applemen.ru/admin/view/template/tool/zjnilwsb.phpОднако все равно нужно провести чистку от вредоносных и спам-скриптов.Следующая команда покажет рассылающие скрипты из почтовых заголовков:grep -R 'X-PHP-Originating' /var/spool/exim/input/|awk '{print $3}'|grep php|awk -F : '{print $2}'|sort|uniq -cВременно остановили почтовый сервер exim, примите меры и завершите чистку.По окончании сообщите, пожалуйста.P.s. Еще подозрительные файлы:/var/www/sergo/data/www/applesweet.ru/xml.php/var/www/sergo/data/www/applemen.ru/xml.php/var/www/sergo/data/www/ehlektronik.ru/xml.php
Проверка нашими администраторами платная:Стоимость проверки до 10 сайтов (на одном сервере, проверка части сайтов одного пользователя не производится) - 1000 рублей, свыше 10 сайтов - 1000 рублей/час.Однако предварительно надо будет выполнять ряд профилактических мер от повторного взлома:- Обновите все используемые CMS и все шаблоны/плагины/скрипты используемые на сайте, регулярно делайте обновления. - Не используйте nulled-версии (не лицензионные) CMS. - Смените пароли доступа по ftp и ssh. Меняйте пароли периодически и не используйте простые и одинаковые пароли. - Создавая/изменяя пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующих правил: - Длина пароля не менее 10 символов. - Включайте в пароль заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), а также используйте специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.). - Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе. - Настройте резервное копирование сайтов. - В файле конфигурации PHP (php.ini) добавьте disable_functions неиспользуемые у вас на сайтах функции: disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source