Sito down a causa di uno script che invia spam

[mdotg]

Ciao a tutti,
da qualche tempo ho un problema su un sito che gestisco. Ogni 3-4 mesi il sito viene messo offline dal provider per un utilizzo inappropriato delle risorse del server (sono su hosting condiviso).

Premetto subito una cosa: la versione di Joomla è l'ultima disponibile della 2.5. Al momento il mio cliente non vuole passare alla 3 perché non ha intenzione di sostenere i costi per un adeguamento del template che a suo tempo aveva fatto sviluppare completamente custom.

Il mio provider, dopo aver messo offline il sito, mi ha mandato questa comunicazione (inserisco un nome generico per il dominio):

We are writing to inform you that we have found the account nomedomino spamming using script
 
 home/nomedomino/public_html/components/com_users/views/remind/defines.php
 
 We are pasting the headers of the mail below for your convenience
 
 ------------------------
 Received: from isabella.ldn.kgix.net ([91.197.228.150])
 by tpa-srv1.filteredmx.net with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
 (Exim 4.84) (envelope-from <beryl_stevenson@nomedomino.net>)
 id 1Y415M-0008Mu-30
 for roberto.alejandro@sbcglobal.net; Thu, 25 Dec 2014 00:35:44 -0500
 Received: from localhost ([127.0.0.1]:37040 helo=isabella.ldn.kgix.net)
 by isabella.ldn.kgix.net with smtp (Exim 4.84)
 (envelope-from <beryl_stevenson@nomedomino.net>) id 1Y415H-0001p1-Nn
 for roberto.alejandro@sbcglobal.net; Thu, 25 Dec 2014 05:35:39 +0000
 Date: Thu, 25 Dec 2014 05:35:39 +0000
 X-SG-User: nomedominio
 X-SG-Opt: SCRIPT_FILENAME=/home/nomedomino/public_html/components/com_users/views/remind/defines.php
 REQUEST_URI=/components/com_users/views/remind/defines.php
 PWD=/home/nomedomino/public_html/components/com_users/views/remind
 REMOTE_ADDR=184.168.193.5
 To: roberto.alejandro@sbcglobal.net
 Subject: RE: Hi Missy Stone wants it in the bathroom
 X-PHP-Originating-Script: 2671:defines.php
 From: "Beryl Stevenson" <beryl_stevenson@nomedomino.net>
 Reply-To: "Beryl Stevenson" <beryl_stevenson@nomedomino.net>
 X-Priority: 3 (Normal)
 ----------------------------------

Quindi, da quello che capisco, il problema si trova nel file /components/com_users/views/remind/defines.php

Non è la prima volta che accade, ma negli episodi precedenti il file incriminato era sempre diverso (a volte un componente di share sui social, a volte uno slider).

In passsato ho risolto cancellando lo script malevolo segnalato dal provider e tutto andava a posto. Ora però vorrei una soluzione definitivita. Avete consigli da darmi su componenti/plugin o azioni da intraprendere per limitare che degli script di spam vengano inseriti sul sito?

Grazie a tutti in anticipo

[steganoga]

se ti succede ogni 3-4 mesi vuol dire che malgrado la versione aggiornata ti stai portando dietro il problema senza eliminarlo.

Ti direi di guardare i post in evidenza nella sez sicurezza che spiegano cosa si può fare in questi casi, anche se comunque necessita una certa esperienza.

Il cliente non vuole spendere soldi? ha ragione, anch'io quando buco la gomma nuova di un mese mi arrabbio... ma al gommista frega nulla

[mmleoni]

concordo con steganoga.

il file /components/com_users/views/remind/defines.php non è di sicuro un file di joomla, quindi vi è, da qualche parte, una shell/cavallo di troia che permette all'attaccante di caricare files a suo piacimento.