Очистить сайт от вирусов, наладить защиту

[Umimart]

Нужен тот кто сможет разобраться!

Хостинг прислал такую информацию: 

C вашей услуги VDS-OVZ-Улёт 
зафиксирована массовая рассылка почтовых сообщений. Мы подозреваем, что сервер рассылает спам, а это запрещено правилами предоставления наших услуг (https://firstvds.ru/company/documents/contract-vds-oferta, Приложение 1, раздел V).

Сейчас исходящий почтовый трафик сервера автоматически заблокирован.

ЭТО ЛЕГАЛЬНАЯ РАССЫЛКА?
Если это легальная рассылка, то мы разблокируем 25 порт и добавим IP адрес вашего сервера в “белый” список.

Для этого вам необходимо выполнить два условия:
1. Ваш сервер должен быть на виртуализации KVM. Как сменить виртуализацию: https://firstvds.ru/technology/faq/openvz-kvm#shift

2. Ответом на данное сообщение, отправьте детали рассылки:

- Каким образом подписчики дают согласие на получение рассылки? (Согласно закону о рекламе, у вас должна быть информация о том, в какое время и с какого IP-адреса каждый пользователь дал подтверждение на рассылку. Иначе рассылка классифицируется как СПАМ)

- Пример письма, где есть возможность быстро отписаться от рассылки.

В случае обнаружения несоответствия полученных ответов действительности или при получении жалоб от Spamcop, Spamhaus и подобных сервисов разрешение на рассылку аннулируется.

ВЫ НЕ ДЕЛАЕТЕ НИКАКИХ РАССЫЛОК?

Если не вы инициировали эту рассылку, то ваш сервер взломан.

 

Я ИМ ОТВЕТИЛ ЧТО НИКАКОЙ РАССЫЛКИ НЕ ДЕЛАЛ!!!

ПОПРОСИЛ ПОМОЧЬ!!!

ОНИ ОТВЕТИЛИ:

 

В почтовой очереди более 32 тыс писем на отправку:
[root@umimart /]# exim -bpc
32489

Пример свежих из них:
0m 1.6K 1ebmSE-00009N-Gh <[email protected]>
[email protected]
0m 1.6K 1ebmSE-00009Q-Hn <[email protected]>
[email protected]
0m 1.6K 1ebmSE-00009T-Ij <[email protected]>
[email protected]
0m 1.6K 1ebmSE-00009W-JS <[email protected]>
[email protected]
0m 1.6K 1ebmSE-00009Z-KA <[email protected]>
[email protected]

Заблокировал следующие спам-скрипты:
/var/www/sergo/data/www/ehlektronik.ru/catalog/controller/event/oxhopcir.php
/var/www/sergo/data/www/applemen.ru/admin/view/template/tool/zjnilwsb.php

Однако все равно нужно провести чистку от вредоносных и спам-скриптов.
Следующая команда покажет рассылающие скрипты из почтовых заголовков:
grep -R 'X-PHP-Originating' /var/spool/exim/input/|awk '{print $3}'|grep php|awk -F : '{print $2}'|sort|uniq -c
Временно остановили почтовый сервер exim, примите меры и завершите чистку.
По окончании сообщите, пожалуйста.

P.s. Еще подозрительные файлы:
/var/www/sergo/data/www/applesweet.ru/xml.php
/var/www/sergo/data/www/applemen.ru/xml.php
/var/www/sergo/data/www/ehlektronik.ru/xml.php
 

Проверка нашими администраторами платная:
Стоимость проверки до 10 сайтов (на одном сервере, проверка части сайтов одного пользователя не производится) - 1000 рублей, свыше 10 сайтов - 1000 рублей/час.

Однако предварительно надо будет выполнять ряд профилактических мер от повторного взлома:
- Обновите все используемые CMS и все шаблоны/плагины/скрипты используемые на сайте, регулярно делайте обновления. 
- Не используйте nulled-версии (не лицензионные) CMS. 
- Смените пароли доступа по ftp и ssh. Меняйте пароли периодически и не используйте простые и одинаковые пароли. 
- Создавая/изменяя пароль для пользователя/почтового ящика/администратора сайта/пользователя БД/FTP-аккаунта, придерживайтесь следующих правил: 
- Длина пароля не менее 10 символов. 
- Включайте в пароль заглавные и строчные символы латинского алфавита (A-Z, a-z), цифры (от 0 до 9), а также используйте специальные символы (\, /, %, *, (, ), ?, @, #, $, ~, : и т.п.). 
- Изолируете сайты друг от друга, для этого создавайте каждый сайт на отдельном пользователе. 
- Настройте резервное копирование сайтов. 
- В файле конфигурации PHP (php.ini) добавьте disable_functions неиспользуемые у вас на сайтах функции: 
disable_functions = exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source

[afwollis]

какие сайты на каких движках у вас размещены на этом хостинге?

[Agatha65]

@halfhope

[snastik]

2 минуты назад, Agatha65 сказал:

@halfhope

 

уже все в порядке - никаких вирусов!

 

[halfhope]

Доочищу, если что. Обращайтесь. Гарантия 1 год.