Проблема с уязвимостью — email рассылки с моего хоста. Как вылечить?
Доброго времени суток!
На почту переодично падает несметное количество писем вида: (часть письма почикал чтобы было понятна суть)
Received: from user8095 by (мой хост) with local (Exim 4.80.1)
(envelope-from )
id 1ZWnE7-003uo9-PO
for joel.tunbridge@btinternet.com; Tue, 01 Sep 2015 18:11:59 +0300
To: joel.tunbridge@btinternet.com
Subject: FW: Popular ED propositions
X-PHP-Script: путь моего хоста/parameters/alias.php for .......196.239, .......196.239
X-Priority: 3 (Normal)
Я после этого удаляю этот php файл, на какое то время становится тихо, но потом опять идет атака. (появляется опять php файл который беспределит, при этом этот файл появляется постоянно в новых местах и на разных сайтах которые висят на этом хосте).
Чекал антивирусом хост (айболитом), проверял на наличие шелов встроенным в cpanel антивирусом чтобы найти шелы которые генерят эти скрипты, но ничего не нашел.
Может кто то сталкивался с этим? Как убрать этот звездец? Как боротся?
Если избавиться - переставлять все заново, потому что никто не даст гарантии что после очередного вычищения ничего не осталось. Если поискать и поразвлечься - анализ логов доступа по SSH/FTP/Web, искать как заливают и закрывать.
Частая причина - неправильные права на папки и файлы.
Проверьте, что у Вас на ВСЕ директории сайта стоят права 755, а на ВСЕ файлы 644.
Сменить права рекурсивно на все вложенные директории может команда
find /home/user -type d -exec chmod 755 {} \;
Рекурсивно на все файлы в вложенных директориях
find /home/user -type f -exec chmod 644 {} \;