ENG    РУС

Все статьи »

С сайта рассылается спам. Хостинг заблокировал сайт.

Закажите лечение сайта и защиту от взлома у специалистов

Существует не так много причин, по которым хостинг может заблокировать ваш сайт. Наиболее популярной из них является почтовая рассылка («спам») с сайта. Причин для рассылки спама может быть несколько:

  1. сайт содержит уязвимые скрипты, через которые рассылают спам
  2. сайт взломали, загрузили на сайт вредоносный спам-рассыльщик, который выполняет несанкционированную отправку почты
  3. сайт содержит функцию отправки почты (например, через форму обратной связи), но в результате манипуляции с данными хакер может использовать ее для несанкционированной отправки почты произвольному адресату.

Если хостинг-компания уличила сайт в рассылке спама, она может заблокировать сайт полностью (сайт перестанет открываться в браузере), или отключить функцию отправки почты.

Для выполнения анализа спам-рассылки нужно использовать три источника:

  1. служебный заголовок одного из писем из спам-рассылки (часто данные письма возвращаются администратору сайта, либо сохраняются у хостера в почтовых логах)
  2. логи почтового сервера на день спам-рассылки
  3. логи веб-сервера на день спам-рассылки

Целью анализа логов и служебных заголовков является поиск варианта несанкционированной отправки почты с вашего сайта, то есть нужно выяснить, через какой скрипт было отправлено письмо и каким образом. 

Если на хостинге включена php опция mail.add_x_header=On, то в служебном заголовке письма будет присутствовать параметр X-PHP-Originating-Script, который укажет на имя скрипта, через который разослали спам.

Если такой строки нет, можно взять дату и время отправки письма, найти в логе веб-сервера access_log ближайшее к дате/времени обращение к скрипту (скорее всего оно будет методом POST) и посмотреть код данного скрипта – нет ли там функции mail() или команд, связанных с smtp.

Возможен вариант, когда запрос идет к скрипту, не принадлежащему CMS. На лицо взлом сайта и работа через веб-шелл или спам-рассыльщик.

Если запрос идет к одному из скриптов CMS (например, index.php), то эксплуатируется уязвимость CMS или плагинов, через которые рассылают спам.

В любом случае даже при подозрении на спам-рассылку необходимо просканировать сайт на наличие хакерских скриптов, следов взлома и заражения. Проще всего это сделать с помощью сканера AI-BOLIT.

Помните, рассылка спама через сторонние (хакерские) скрипты – это следствие взлома. То есть сайт точно содержит уязвимость, его уже взломали и загрузили на него вредоносный код, причем вместе со спам-рассыльщиками наверняка загружены и другие вредоносные веб-шеллы и бэкдоры. В этом случае нужно выполнять полную диагностику сайта, удалять все вредоносные скрипты и устанавливать защиту от взлома, чтобы подобные проблемы не возникли в дальнейшем. Простое удаление одного скрипта, рассылающего спам – это полумера, которая не решает проблему.

Если самостоятельно избавиться от спама на сайте вам не под силу, обратитесь к специалистам.

Посмотреть другие статьи.

Закажите лечение сайта и защиту от взлома у специалистов

Обсуждаем!