С сайтов идёт неизвестная рассылка спама. Где искать?
 

Уже в 5 раз приходит уведомление о рассылке 200 писем с хостинга. Началось с неделю назад. Что делать и как избавиться от проблемы?
На хостинге десятки сайтов на WordPress И каждый раз приходит сообщение о рассылке писем с разных сайтов:

Обратиться в саппорт хостинга с описанием проблемы - скорей всего один из сайтов хакнут или был установлен хакнутый плагин.

2 варианта решения проблемы:
- найти хакнутый сайт (саппорт, логи и поочередное отключение сайтов) и переустановить заново, используя плагины из проверенных источников
- полностью отключить исходящую почту на сервере (саппорт), заменив почтовые формы на сайтах указанием адресов эл.почты

Новые плагины уже более полугода не устанавливались и не обновлялись. Обновлялся только сам Вордпресс автоматом. Грешу на это.
Формы есть на сайтах, но они завязаны на мою почту. Писем приходит немного и все по делу. Так что формы на сайтах отпадают из подозреваемых.

Отключение сайтов не вариант, - бизнес.

Формы на сайтах не служат источником рассылки - просто на сайте есть внедренный код, который использует ваш SMTP сервер. Скорей всего, этим кодом управляют извне вашего сервера (при помощи запросов).

Просмотрите логи - можно попытаться найти необычные GET или POST запросы к серверу с неизвестных сайтов/серверов. Определите их IP забаньте - обычно в панели управления есть возможность блокировки IP.

Буду "копать".

Проверьте по фтп на сайтах папки с правами на запись, особенно 777, особенно с названиями images, img и т.д., куда обычно пишутся фотографии и т.д. В какой-нибудь такой папке скорей всего есть какой-то левый файл, который туда прописали взломщики. Этот файл легче искать по дате создания, которая скорей всего недавняя и совсем не совпадает с датами других файлов, которые были залиты в день установки сайта. Этот левый файл и есть скрипт рассылки почты.

Доступ к логам есть? Нужно посмотреть логи на предмет того какой файл с какой аккаунта шлет почту.

А версии вордпресс все 4.7.2? Если нет, срочно обновлять - до 4.7.1 юзается старый дырявый PHPMailer, да и в 4.7.1 есть дырень и эксплоит под нее.

Port_Artur, такая хренотень сейчас везде :o, на наших сайтах (хостинг ihor) была аналогичная ситуация. Всё удалили и переустановили заново. Помогло

В первых числах февраля, свыше 100 тысяч вебсайтов на WordPress, стали жертвами хакерских атак:
- WordPress тайком ликвидировал опасную уязвимость
- Предосторожность WordPress не помогла

добавлено через 8 минут
Что самое интересное, эта хрень изменила все даты папок и файлов на дату взлома и вычистить по дате было очень сложно :o

http://cbanner.ru/df/vzlom.png

дело в том, что в той папке /public_html/ (влючая все подпапки) на которую ругаются и других таких же (домены в зоне.ru), что идёт рассылка писем, - все файлы от 5 февраля 2016
и левых названий с расширением .php тоже нет.


Ругается только на домены .ru

B .htaccess с переадресацией мобильного трафика на порносайты тоже только под .ru домены пишется.
С .РФ такой проблемы нет !!!

добавлено через 8 минут
А что именно в логах искать? Как запись отсылки почты может выглядеть?

Там наверняка "кривые" нелатинские ссылки и вражеский код в них путается)

Сравните логи исходящий сообщений (найдите точное время отправки спама) и логи работающих в это же момент времени пхп файлов - нужно найти совпадения по времени и понять - какой из пхп-ешек отправил то или иное сообщение. И уже тогда изучить код это пхп.