С сайта рассылается спам

Странно, что никто не рекомендует смотреть логи сайта, в особенности POST запросы. Это очень действенный способ для обнаружения вредоносных скриптов

Вы наверное не в курсе как ведут себя взломщики.

Как только сайт взломан, во все папки как можно отдаленные копируется PHP файл для спама или взлома.

Далее ежедневно обычно в ночное время ближе к утру запускают один из такий файлов из удаленного сервера, который раннее был взломан таким же способом, и рассылают спам.

Так что по логам можно найти 1 или несколько файлов.

Для устранения причины взлома, нужно искать везде и все что не относится к движку, либо удалить все и загрузить новую версию.

Я в курсе

Ну так логи как раз таки помогают найти такие файлы. Разве нет?

Откуда информация, я написал в предыдущем сообщение.

Честная статистика есть только у компаний, которые занимаются чисткой от вирусов. Кампаний таких не много и вряд ли кто захочет ей просто так делиться... Хотя по сути то и секрета тут особого нет, но тем не менее. Самые часто ломаемые движки это все же джумла. Если скажем три года назад бросили сто сайтов на вордпрессе и сотню на джумле, то на джумле из этой сотни взломают минимум 99 а вп не больше половины.

Я с вами несогласен и у меня для этого есть все основания. Я работаю в достаточно крупной компании, которая предоставляет услуги хостинга. Через меня проходят все жалобы на фишинг, спам и т.д. В 90% случаев взламывают WP, joomla на почетном втором месте.

Помогают найти файлы, но не саму причину, как этот файл появился.

Если в файлах движка есть код PHP с функцией eval, этот код нужно удалять, так как через этот код и загружают вредоносный код на сайт.

Обычно этот код вставляют в варезные движки, которые пользователи скачивают и используют без лицензий и бесплатно.

Поэтому, чтобы исключить возможность взлома, нужно использовать только лицензированное ПО.

По сути Вы абсолютно правы. Все в общем почти так иесть, разница лишь в том, что обычно файлы во все каталоги добавляются и дописываются шеллы в начало и конец пхп файлов когда сайт уже продали на одном из форумов хакерских или бирж. При первичном взломе сайта обычно на него не копируют сотни и тысячи файлов, а делают три четыре грамотных закладки. Код внедряется в середину файла или делается фейковый плагин или компонент и т.д. Причем без шелов, без ботов, а инклудится тлько лоодер, размер которого редко превышает двухсот байт и найти который начинающему очень не просто. а вот уже потом действительно на сайт грузят все, что есть :-)

Наш рекорд (видел лично) это зараженная джумла, которая даже работала, но имелаа в себе более одиннадцати с половиной тысяч зараженных файлов :-)

Компании, которые этим серьезно занимаются обязательно делают сайты ловушки, для отслеживания новых так сказать веяний в этом сегменте. То есть какой либо лакомый сайт с заведомо ломаемым паролем или свежим уязвимым компонентом и системой слежения. И постоянно проверяют, что ловится в сети. Но это требует значительных ресурсов и потому обычно одиночным мастерам это не под силу.

---------- Добавлено 05.04.2016 в 15:37 ----------

Этот ответ говорит ровно об обратном.

Были бы в курсе, такого не писали бы.

Как чаще всего ведут себя закеры ломающие сайт, может знать только сотрудник компании, в работу которого входит изо дня в день на протяжении несколькх лет лечить зараженные сайты и изучать свежий вредоносный код и найденные уязвимости. Иначе увы никак. Даже если Вы сами предположим пыталсь баловаться ища не стойкие пароли и внедряя на такие сайты шелы, то Ваши изыскания увы это баловство и на статистику никак не влияет.

Почему это? То есть по логам нельзя найти уязвимый плагин? Насколько я знаю, то анализ логов это то, что нужно делать, для того что бы найти причину. Если использовался уязвимый плагин, то к нему будут идти запросы и они будут отражены в логах.

Вы сейчас пишите о функциях движка, то есть рекомендуете переписывать код без использования функции eval или имеете ввиду вредоносные файлы, которые имеют такую функцию?

---------- Добавлено 05.04.2016 в 14:42 ----------

Это почему?

Простите, не понимаю вашу логику. Почему если я в курсе я бы не писал о том, что я в курсе?

А вот тут Вы сильно погорячились. В большинство популярных CMS входят файлы, которые содержат файлы с функцией eval( с завода. И это не вредоносный код и удалять его ни в коем случае нельзя. А вот то, что eval( Это самая частая сигнатура, по которой можно найти большинство вредоносного кода это верно.

Ни один из движков эту функцию НЕ использует, если она есть в коде, значит ее внедрили извне, либо пользователь загрузил движок уже с внедренным eval. eval нужно сносить к чертям, эта функция позволяет выполнять на сервере вставленную в ней строковую переменную.

Ну а если так хочется ее оставить в коде, тогда Вы или Ваш программист должен сделать все , чтобы переменную в eval не смогли определять и вставлять извне.

---------- Добавлено 05.04.2016 в 14:52 ----------

Содержится только в Javascript-ах, в PHP никто ее не использует.