serg-php
Посмотри аксесс, еррор логи сервера.Попробуй найти файлы. которые недавно изменялись. Если в письмах реклама сайта, попробуй написать абузу\выяснить кто владелец

__________________

• Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків
• Security Audit

MoDL

Как их автоматом найти?

Абуза - глупо! Сайт смотрел - там грамотно сделано и не факт, что следующая пачка спама будет иметь ссылку на другой сайт!

Привожу текст спам-письма:

Есть ли способы выявить данный скрипт?

уже выше говорили, посмотри все недавно созданные или модифицированные файлы. спам-скрипт может лежать в любой веб-директории, поэтому слей себе весь контент и прошерсти файлы.

Вообще, надо логичнее подойти... Подними логи SMTP, посмотри время когда шёл спам, смотри логи апача, соответствующие этому времени. Насчёт времени изменения - не факт, что его не подправили с помощью touch. На сайте есть формы отправки чего-либо куда-либо? Смотрел скрипты, в которых используется функция mail? Они уязвимы? Ну и ещё раз - логи, логи, логи... Логи SMTP, логи Apache и т.д. Проверь кронжобы и т.д.

Контент слил! Лазил - тничего не нашел!

Поиск усложняется тем, что:

- основные файлы системы под зендом
- есть качаный из инета скрипт генерации саймапа,
который прошел обфускацию, но триал скрипта
не был снят, пришлочь самому доделывать
(возможно в этом вся проблема)

Крипт стоял на крон-джобе!

Сейчас - джоб и скрипт удалил!

Если у тебя был недавний бекап сайта то можеж попробать сравнить. Слей весь текующий контент и проверь тоталкомандером на совпадение файлов.

Абуза - почему глупо? Ну разве если абузостойкий... А так пиши, приведи пример письма, обьясни ситуацию и тд. При правельно подходе сайты снимают за 3-5 дней (из собственного опыта)

__________________

• Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків
• Security Audit

MoDL

Cайт постоянно доделывался и бекапа целенаправленного не было т.к. переехали к новому хостеру у которого все и началось!

Хостер, надежный! Просто непонятно, откуда спам!