1. Прежде всего используем серверный антивирус для проверки. Он помогает найти и вылечить часть зараженных файлов. Но отправка спама с сервера продолжается.
2. Скачиваем все файлы с сервера. Проверяем их двумя антивирусами, сначала Dr.Web, затем Eset. Находим еще вирусы – лечим/удаляем.
3. Т.к. процесс выкачивания файлов с сервера и обратная закачка небыстрый (на сервере находится более 30Гб информации – несколько информационных сайтов, крупный интернет-магазин), мы хотим быть на 100% уверены, что раз и навсегда разобрались с вирусами. Поэтому мы все файлы проверяем анализаторами кода. Используем Aibolit и HipHop. Анализаторы нашли подозрительный код в некоторых файлах. В нашем случае найден был один и тот же код в проектах на разных CMS: 1С-Битрикс и Wordpress, это сразу вызвало подозрение у нашего специалиста. Удалям вредоносный код / заменяем установочные файлы.
4. Анализируем далее файлы по дате изменения, оставляем для анализа те, которые менялись недавно (10-14 дней назад, именно тогда была замечена проблема заказчиком). Сравниваем их содержимое с исходными (установочными файлами).
5. Закачиваем пролеченные файлы на сервер.
6. Чистим очередь спула (очередь отправки писем).
Видим, что отправка спама прекратилась. Победа! Несколько дней проверяем лог почты. Все хорошо.