Уважаемые, коллеги! На сайт проник вредоносный скрипт и спамит! Наши действия: - заменили пароли на аккаунт; - узнали у хостера текст писем и заголовки; - просмотрели скрипты на сайте и не нашли ничего подозрительного. Вопрос! Как отловить сей спам-скрипт либо отрезок кода?
serg-php Посмотри аксесс, еррор логи сервера.Попробуй найти файлы. которые недавно изменялись. Если в письмах реклама сайта, попробуй написать абузу\выяснить кто владелец
Как их автоматом найти? Абуза - глупо! Сайт смотрел - там грамотно сделано и не факт, что следующая пачка спама будет иметь ссылку на другой сайт! Привожу текст спам-письма: HTML: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=Windows-1252"> </HEAD> <BODY><a href="http://happinessmain.com/" target="_blank"> <img src="http://happinessmain.com/shop.gif" border=0 alt="Having trouble viewing this email? Click here to view as a webpage."></a></BODY></HTML>
уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы.
Вообще, надо логичнее подойти... Подними логи SMTP, посмотри время когда шёл спам, смотри логи апача, соответствующие этому времени. Насчёт времени изменения - не факт, что его не подправили с помощью touch. На сайте есть формы отправки чего-либо куда-либо? Смотрел скрипты, в которых используется функция mail? Они уязвимы? Ну и ещё раз - логи, логи, логи... Логи SMTP, логи Apache и т.д. Проверь кронжобы и т.д.
Контент слил! Лазил - тничего не нашел! Поиск усложняется тем, что: - основные файлы системы под зендом - есть качаный из инета скрипт генерации саймапа, который прошел обфускацию, но триал скрипта не был снят, пришлочь самому доделывать (возможно в этом вся проблема) Крипт стоял на крон-джобе! Сейчас - джоб и скрипт удалил!
Если у тебя был недавний бекап сайта то можеж попробать сравнить. Слей весь текующий контент и проверь тоталкомандером на совпадение файлов. Абуза - почему глупо? Ну разве если абузостойкий... А так пиши, приведи пример письма, обьясни ситуацию и тд. При правельно подходе сайты снимают за 3-5 дней (из собственного опыта)
Cайт постоянно доделывался и бекапа целенаправленного не было т.к. переехали к новому хостеру у которого все и началось!
По идее у апача должен быть файлик access.log и error.log тама много инфы! Посмари может чо и подазрительное найдешь! Вообще по идее скрипт мог быть залит через shell! Посмари уязвимости и т.д. и вообще скажи сайт то свой!!!
Как выявить ? Ищи в php файлах другие скрипты которые обращаются к формам добавления сообщений и т.д (кроме как известные и разрешенные) =)