спам с сервера

[ed44rf]

клиент пожаловался на спам с сервака
обнаружил что письма шлет файл tools/swift/Swift/Plugin/MailSend.php:160
запустил на сайте ai-bolit,  вывел
data/core/Tracker/Visit.php

• 1…ia,$plugin_Gears,$plugin_Silverlight,$plugin_Cookie,$ip,$browserLang){$hash=md5( $os.$browserName.$browserVersion.$plugin_Flash.$plugin_Java.$plugin_Director.$p

19/10/2015 21:15:55
30/05/2013 02:57:06
70.98 Kb
/data/libs/tcpdf/tcpdf.php

• BIG FILE. SKIPPED.

19/10/2015 21:15:55
30/05/2013 02:57:06
938.57 Kb
/tools/tcpdf/tcpdf.php
BIG FILE. SKIPPED.

ls -lah data/core/Tracker/Visit.php
-rw-r--r-- 1 apache apache 71K Май 30  2013 data/core/Tracker/Visit.php
Visit.php  не изменялся

еще запускал clamav

что еще можно сделать?

[coder]

Проверять нужно файлы на внедренный код. Файл MailSend.php сам по себе не отсылает письма. Это какой-то скрипт на сайте к нему обращается.
Антивирусы, программы подобные ai-bolit не все могут обнаружить. Самому придеться искать. Сравнить нужно файлы от prestashop установленой версии с файлами сайта. Найти разницу, проверить измененые файлы. Включить логирование отправки почты с сайта, обращения к файлам сайта и т.д., чем подробнее, тем лучше.

[ed44rf]

сверять файлы желания нету
теперь только переустановка сайта?

[Adik]

Переустановку должна помочь. Удалить все с хостинга и заново поставить prestashop.
Только гарантии того, что опять не взломают нет. Как-то же код вставили. У вас модулей старых нет на сайте? Проверьте, вот тут список взломанных модулей - https://prestashop-forum.ru/index.php/topic,6913.0.html

[ed44rf]

взломанных вроде нету
но в магазине есть куча других

autumnmegamenu               blocklanguages        blockrss       blockwishlist     graphartichow      navyapi            rppay                   statsbestvouchers  statspersonalinfos
bellentecatalogmenutopright  blocklayered          blocksearch    bvkseodispatcher  graphgooglechart   neworder           sekeywords              statscarrier       statsproduct
blockadvertising             blocklink             blocksharefb   carriercompare    graphvisifire      newsletter         sendtoafriend           statscatalog       statsregistrations
blockbestsellers             blockmanufacturer     blocksocial    cashondelivery    graphxmlswfcharts  onepagecheckoutps  shopimporter            statscheckup       statssales
blockcart                    blockmyaccount        blockspecials  crossselling      gridhtml           pagesnotfound      shoppingfluxexport      statsdata          statssearch
blockcategories              blockmyaccountfooter  blockstore     dateofdelivery    homefeatured       payworks           sht                     statsequipment     statsstock
blockcms                     blocknewproducts      blocksupplier  editorial         homeslider         productcomments    statsbestcategories     statsforecast      statsvisits
blockcontact                 blocknewsletter       blocktags      favoriteproducts  importerosc        productscategory   statsbestcustomers      statsgeolocation   themeinstallator
blockcontactinfos            blockpaymentlogo      blocktopmenu   feeder            index.php          producttooltip     statsbestmanufacturers  statslive          trackingfront
blockcurrencies              blockpermanentlinks   blockuserinfo  followup          loyalty            pscleaner          statsbestproducts       statsnewsletter    vatnumber
blockcustomerprivacy         blockreinsurance      blockviewed    gamification      mailalerts         referralprogram    statsbestsuppliers      statsorigin        watermark

[mistral]

Файлов в prestashop много и все их не проверить. Нужно по логам смотреть какой файл дергает MailSend.php, только так можно понять в какой папке и какой файл искать.

[ed44rf]

как отловить?

[mistral]

Включить логирование, если vps или выделенный, если шаред, то никак. В суппорт написать, бывает что помогают и высылают лог.

[PrestaMan]

Поиском по содержимому файлов пройдитесь. Искать слова mail, send, swift. Тоже может помочь найти скрипт отправки почты.

[ed44rf]

Включить логирование, если vps или выделенный, если шаред, то никак. В суппорт написать, бывает что помогают и высылают лог.

у меня впс и я сам супорт
смог нагуглить только это
mail.add_x_header = On
mail.log = /var/log/mail.log

как увидеть цепочку вызовов?

[mAgency]

На vps проще, нужно только знать какой почтовый сервер установлен. Если Exim, находите директории почтовых скриптов и количество отправок

Код: [Выделить]

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -nДиректории, которые не входят в prestashop и из которых множество отправок, проверяете в ручную.

[tigran]

Обычный лог MTA не показывает откуда было обращение к функции mail.