Проблема, с которой обратился клиент
C сервера не санкционировано отправляются email - письма в большом количестве (более 1000 писем в день).Что мы сделали для её решения
1. Прежде всего используем серверный антивирус для проверки. Он помогает найти и вылечить часть зараженных файлов. Но отправка спама с сервера продолжается.
2. Скачиваем все файлы с сервера. Проверяем их двумя антивирусами, сначала Dr.Web, затем Eset. Находим еще вирусы – лечим/удаляем.
3. Т.к. процесс выкачивания файлов с сервера и обратная закачка небыстрый (на сервере находится более 30Гб информации – несколько информационных сайтов, крупный интернет-магазин), мы хотим быть на 100% уверены, что раз и навсегда разобрались с вирусами. Поэтому мы все файлы проверяем анализаторами кода. Используем Aibolit и HipHop. Анализаторы нашли подозрительный код в некоторых файлах. В нашем случае найден был один и тот же код в проектах на разных CMS: 1С-Битрикс и Wordpress, это сразу вызвало подозрение у нашего специалиста. Удалям вредоносный код / заменяем установочные файлы.
4. Анализируем далее файлы по дате изменения, оставляем для анализа те, которые менялись недавно (10-14 дней назад, именно тогда была замечена проблема заказчиком). Сравниваем их содержимое с исходными (установочными файлами).
5. Закачиваем пролеченные файлы на сервер.
6. Чистим очередь спула (очередь отправки писем).
Видим, что отправка спама прекратилась. Победа! Несколько дней проверяем лог почты. Все хорошо.
на полезный блог MWI
