[homix]

Здравствуйте!
Не могу определится к какому разделу относится тема, мой хостинг Логол постоянно блокирует площадку из за рассылки спама, на хосте 1 сайт и он на джумале.
Сам хост выслал примеры сообщений:

Развернуть текст

53
1Xcy7R-00057o-5L-H
cp452168 2642 32008
<courtney_maynard@orion54.ru>
1413039485 0
-ident cp452168
-received_protocol local
-body_linecount 5
-max_received_linelength 131
-auth_id cp452168
-auth_sender cp452168@cpanel9.logol.ru
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
effa.martial@yahoo.fr

195P Received: from cp452168 by cpanel9.logol.ru with local (Exim 4.80)
(envelope-from <courtney_maynard@orion54.ru>)
id 1Xcy7R-00057o-5L
for effa.martial@yahoo.fr; Sat, 11 Oct 2014 18:58:05 +0400
026T To: effa.martial@yahoo.fr
047 Subject: Fw: Ha ha Amateur blowjob in the car
092 X-PHP-Script: orion54.ru/media/editors/codemirror/dirs.php for 184.168.46.90, 184.168.46.90

040 X-PHP-Originating-Script: 2642:dirs.php

055F From: "Courtney Maynard" <courtney_maynard@orion54.ru>
058R Reply-To:"Courtney Maynard" <courtney_maynard@orion54.ru>
023 X-Priority: 3 (Normal)
018 MIME-Version: 1.0
046 Content-Type: text/html; charset="iso-8859-1"
032 Content-Transfer-Encoding: 8bit
049I Message-Id: <E1Xcy7R-00057o-5L@cpanel9.logol.ru>
038 Date: Sat, 11 Oct 2014 18:58:05 +0400
1Xcy7R-00057o-5L-D

<h2><a href="http://ngraphic.net/saj/wp-content/uploads/file.html?Z2RkYyxvY3B2a2NuQntjam1tLGRw">Amateur blowjob in the car</a></h2>
<div> At this the colored kliegs burst down on us, revealing our pink-
</div>


---------------------------------------------------------------
body hash: 10556f6487ae396959bce98bdffa59bb

[свернуть]

До этого проблема решалась просто запретом рассылки.
Сейчас на сайте появилась форма обратной связи, и теперь такой метод не годится.
После создания формы и снятия запрета рассылки прошло пару недель и вот сайт снова забанен(
Может кто сталкивался с таким? Подскажите что можно сделать.

[3s777]

homix, как что? искать вирус. У вас на сайте есть скрипт который и рассылает весь этот спам. Ищите и удаляйте его, принимайте необходимые меры, чтобы ваш сайт не был заражен повторно, потом пишите хостеру, чтобы с вас снял блокировку.

[zenn]

Ищите вредоносный скрипт на вашем сайте, который делает рассылку почты.
Если нет физического доступа к SSH - обратитесь в тех. поддержку, если есть - установите clamav и запустите проверку директории веб-сервера.

[homix]

3s777,
Скрипты удалялись, проходит время и все по новой.


zenn,
SSH? а просто доступа по FTP мало?

[CB9TOIIIA]

SSH - терминал. По FTP не выполнишь никаких команд.
Айболитом советую пройтись: http://revisium.com/ai/

[arnish]

Айболитом пройтись можно, пару раз спасал.
"Скрипты удалялись, проходит время и все по новой." при таком раскладе возможно вирус на вашей рабочей машине, при входе на сайт через ftp всё зальётся снова.

[awmaster08]

Нужно дыры искать в CMS. Проверьте сайт айболитом. Еще рекомендую залить скрипт http://www.2admina.net/page/kak-udal...-base64_decode и поискать по фразам base64_decode, eval, sendmail, mail и т.п. Посмотрите логи, там можно полезную информацию найти. И прикройте доступ хостинге по FTP. Сам в свое время мучился - помогло.

[Андрей88]

Проверяйте разные популярные расширения под Joomla. Я когда-то страдал из-за аккардеона, вшиты были скрытые ссылки...

[vipmastera]

Обновить систему и установить обновления для компонентов - первое что я бы сделал.
Установить компонент защиты для сайта - RSfirewall и просканировать сайт на наличие вредоносного кода.
Также выполнить все рекомендации по безопасности компонента.