Как избавится от спам вируса?

Question

[Иван Козлов]

Имеется vds с панелькой vesta. На хостинге несколько сайтов. Через какой то из них был внесен вирус и был размножен. Я почистил полностью все сайты(на 99%) уверен. Установил maldet. Им просканировал весь сервак вдоль и поперек - ничего не нашел.
Сейчас проблема такая, с сервака отправляются спам. Откуда не понятно. Apache и Mysql съедают максимальную память. И я хз что делать. Может кто подскажет варианты? Приложил лог с exim4.

2016-04-08 06:23:32 1ansu0-0001HR-NY SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3135: host mta6.am0.yahoodns.net [98.138.112.37]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:32 1anqXE-0008VA-FA SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3486: host mta6.am0.yahoodns.net [66.196.118.240]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:32 1any4J-0000Vy-18 SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3443: host mta7.am0.yahoodns.net [66.196.118.34]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:32 1ao13W-0005Gu-FH SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1794: host mta6.am0.yahoodns.net [66.196.118.240]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:32 1ao05m-0006bf-7i SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3453: host mta6.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:33 1ansu0-0001HR-NY SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3135: host mta6.am0.yahoodns.net [66.196.118.240]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1anqXE-0008VA-FA SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3486: host mta6.am0.yahoodns.net [98.136.216.26]: 421 4.7.0 [TSS04] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1ao13W-0005Gu-FH SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1794: host mta6.am0.yahoodns.net [98.138.112.34]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1any4J-0000Vy-18 SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3443: host mta7.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1any4J-0000Vy-18 == sheri.schoon@yahoo.com R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3443: host mta7.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1ao05m-0006bf-7i SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3453: host mta6.am0.yahoodns.net [98.138.112.37]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1ansu0-0001HR-NY SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3135: host mta6.am0.yahoodns.net [63.250.192.46]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1ansu0-0001HR-NY == sheri.schoon@yahoo.com R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3135: host mta6.am0.yahoodns.net [63.250.192.46]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:34 1aoPpO-0003zQ-SM <= <> R=1ansu0-0001HR-NY U=Debian-exim P=local S=1495
2016-04-08 06:23:34 1aoPpO-0003zQ-SM ** Мой email: Unrouteable address
2016-04-08 06:23:34 1aoPpO-0003zQ-SM Frozen (delivery error message)
2016-04-08 06:23:35 1anqXE-0008VA-FA SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3486: host mta6.am0.yahoodns.net [98.138.112.34]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:35 1ao13W-0005Gu-FH SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1794: host mta6.am0.yahoodns.net [98.136.217.203]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:35 1ao0Cm-0001Hx-Am SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1674: host mta6.am0.yahoodns.net [98.136.216.25]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:35 1ao05m-0006bf-7i SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3453: host mta6.am0.yahoodns.net [63.250.192.46]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:35 1ao05m-0006bf-7i == hamishof@yahoo.com R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3453: host mta6.am0.yahoodns.net [63.250.192.46]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:35 1anukD-0004DE-Tj SMTP error from remote mail server after MAIL FROM:<Мой email> SIZE=3528: host mta5.am0.yahoodns.net [66.196.118.240]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:36 1ao13W-0005Gu-FH SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1794: host mta6.am0.yahoodns.net [66.196.118.36]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:36 1ao13W-0005Gu-FH == cedricbabycheeks@yahoo.com R=dnslookup T=remote_smtp defer (-45): SMTP error from remote mail server after MAIL FROM:<Мой email2> SIZE=1794: host mta6.am0.yahoodns.net [66.196.118.36]: 421 4.7.0 [TS01] Messages from 188.225.36.106 temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html
2016-04-08 06:23:36 1aoPpQ-0003zg-Lq <= <> R=1ao13W-0005Gu-FH U=Debian-exim P=local S=1468
2016-04-08 06:23:36 1aoPpQ-0003zg-Lq ** Мой email2: Unrouteable address
2016-04-08 06:23:36 1aoPpQ-0003zg-Lq Frozen (delivery error message)
2016-04-08 06:23:36 1anseN-0004rz-QH Message is frozen

Answer 1

[Пума Тайланд]

сканьте ai-bolit , малдет так чисто для массового уничтожения банальнейших вирусов
ну и чтобы узнать кто шлет в пхп есть опция php nail log в пхп ини
оно в файл сохранит какой скрипт шлет письма

Comments

[Иван Козлов]

ai-bolit не нашел ничего. Либо как то юзаю его не так. php nail log - не помогло. Видно не через php скрипт шлет.

[Пума Тайланд]

Иван Козлов: ну покажите отчет
ну так рпхпмайллог показывает дргие письма с серпвера или просто пустой?

Answer 2

[Андрей]

Значит плохо почистили. rkhunter пробовали? Бэкапы есть, чтобы откатиться?

Comments

[Иван Козлов]

Бекапы сайтов и бд есть. Бекапов сервака нету. rkhunter сейчас поюзаю.

[Иван Козлов]

для /usr/bin/unhide.rb показал warning

[Андрей]

Иван Козлов: это, вроде бы, его же файл, нет повода для беспокойства. Видимо, у вас глубокое заражение сервера. либо искать хорошего специалиста, либо переустанавливать с нуля.

[Иван Козлов]

Андрей: Скорее всего буду переустанавливать.

Answer 3

[PrAw]

Подключи этот модуль:
https://httpd.apache.org/docs/current/mod/mod_stat...
покажет чем занят каждый воркер, там уже сможешь более прицельно искать виновника.

Второй вариант, настроить лог
httpd.apache.org/docs/2.2/mod/mod_log_config.html
Там есть замечательный параметр:
%T The time taken to serve the request, in seconds.
Тоже даст список подозреваемых.

Даже просто поиск по всем файлам по "eval(" в случае php даст тебе список всех подозрительных файлов. Но в любом случае пока дырка всё еще есть, то повторное заражение не за горами, надо искать причины.

Comments

[ThunderCat]

не только eval, нужно много чего искать, в том числе и "ev"."al" и прочее мракобесие.

[PrAw]

Да, про такие гадости, как call_user_func('eval', $a); я и забыл

[Иван Козлов]

Быстрее будет переустановить сервак)

Answer 4

[Сергей Поздняков]

Можно попробовать так, в php.ini:

mail.add_x_header = On
mail.log = /var/log/php.mail.log

Добавит в заголовки писем путь к скрипту который отправил. Если в логах записи не будет, можно посмотреть заголовки в исходниках не отправленных писем (/var/spool/exim/input)