Уважаемые, коллеги!
На сайт проник вредоносный скрипт и спамит!

Наши действия:
- заменили пароли на аккаунт;
- узнали у хостера текст писем и заголовки;
- просмотрели скрипты на сайте и не нашли ничего подозрительного.

Вопрос! Как отловить сей спам-скрипт либо отрезок кода?

serg-php
Посмотри аксесс, еррор логи сервера.Попробуй найти файлы. которые недавно изменялись. Если в письмах реклама сайта, попробуй написать абузу\выяснить кто владелец

Попробуй найти файлы. которые недавно изменялись.

Как их автоматом найти?

Абуза - глупо! Сайт смотрел - там грамотно сделано и не факт, что следующая пачка спама будет иметь ссылку на другой сайт!

Привожу текст спам-письма:


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=Windows-1252">
</HEAD>
<BODY><a href="http://happinessmain.com/" target="_blank">
<img src="http://happinessmain.com/shop.gif" border=0 alt="Having trouble viewing this email?
Click here to view as a webpage."></a></BODY></HTML>

Есть ли способы выявить данный скрипт?

уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы.

Вообще, надо логичнее подойти... Подними логи SMTP, посмотри время когда шёл спам, смотри логи апача, соответствующие этому времени. Насчёт времени изменения - не факт, что его не подправили с помощью touch. На сайте есть формы отправки чего-либо куда-либо? Смотрел скрипты, в которых используется функция mail? Они уязвимы? Ну и ещё раз - логи, логи, логи... Логи SMTP, логи Apache и т.д. Проверь кронжобы и т.д.

уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы


Контент слил! Лазил - тничего не нашел!

Поиск усложняется тем, что:

- основные файлы системы под зендом
- есть качаный из инета скрипт генерации саймапа,
который прошел обфускацию, но триал скрипта
не был снят, пришлочь самому доделывать
(возможно в этом вся проблема)

Крипт стоял на крон-джобе!

Сейчас - джоб и скрипт удалил!

Если у тебя был недавний бекап сайта то можеж попробать сравнить. Слей весь текующий контент и проверь тоталкомандером на совпадение файлов.

Абуза - почему глупо? Ну разве если абузостойкий... А так пиши, приведи пример письма, обьясни ситуацию и тд. При правельно подходе сайты снимают за 3-5 дней (из собственного опыта)

Если у тебя был недавний бекап сайта то можеж попробать сравнить

Cайт постоянно доделывался и бекапа целенаправленного не было т.к. переехали к новому хостеру у которого все и началось!

Хостер, надежный! Просто непонятно, откуда спам!

Ну так сравни с последней версией. Я думаю ты поймешь что твое, а что нет.

Посмотри полые заголовки письма... может это даже и не твой серв. просто кто то прикрывается...

Прикрыться легко, хочешь я тебе письмо от путина пришлю? Пиши в ПМ

По идее у апача должен быть файлик access.log и error.log тама много инфы! Посмари может чо и подазрительное найдешь! Вообще по идее скрипт мог быть залит через shell! Посмари уязвимости и т.д. и вообще скажи сайт то свой!!!

Как выявить ? Ищи в php файлах другие скрипты которые обращаются к формам добавления сообщений и т.д (кроме как известные и разрешенные) =)