Ломанули сайт, рассылают спам

[krasniy]

Взломали сайт из в корень сайта там где логи, темп положили папку mailer с 4 файлами (список адресов, текст письма и скрипт рассылки на pl, все рассылалось через EXIM. Как возможна раасылка через exim ? Откуда могли взломать? Как найти ?

 

[vladis1333]

Откуда могли взломать? Как найти ?

Проверить сайт, сервер на уязвимости. Как минимум посмотреть логи (если не стерты, конечно).
Могу посодействовать в проверке.

 

[Владик]

какая CMS?

 

[krasniy]

Проверить сайт, хостинг на уязвимости. Как минимум посмотреть логи (если не стерты, конечно). Могу посодействовать в проверке.

логов за эти даты нет, а как проверить на уязвимость? стоит вроде новое ПО, open_basedir, проверял rkhunter

 

[vladis1333]

rkhunter уже шеллы ищет- как я понимаю, а не источник проникновения. Либо пентестом или глубже исходники смотреть, тестить.

 

[krasniy]

какая CMS?

 

[smalllamer]

Почитай Для просмотра ссылки Войди или Зарегистрируйся
Анализатор логов найдешь под свой конфиг.
И проведи "аудит сервера" тулзой типа Для просмотра ссылки Войди или Зарегистрируйся

 

[efs]

банальные же вещи, скомпрометированный сервер идет под снос, потому что вы больше времени потратите на поиски закладки (если она вообще есть), чем разворачивание сервера из бекапа (вы же делаете бекапы?).
нет бекапа? сливаете сайты, проверяете на излишки и сервер под снос.

 

[smalllamer]

Я бы не стал сносить сразу сервак. Это всегда успеется. Может его массово загребли. Закроет дыру да и все.
Пускай покопается человек, интересно же

 

[krasniy]

Я тоже считаю что сносить в таком случае не стоит. Все таки взломали один акк на сервере, скорее всего через уязвимость в скрипте Viart или OpenCart.
Если интересно вот файлы которые лежали в корне и рассылали спам Для просмотра ссылки Войди или Зарегистрируйся

А за пентест спасибо, много нового для себя открыл)) жаль логов не осталось за этот период