Мой блог взломали
Похоже мой сайт взламали! Блог на wordpress Злоумышленник при подписке вводит
в поле чужой адрес почты, в поле имя лабуду с адресом левого сайта. Использую плагин Newsletters (
https://www.thenewsletterplugin.com/ ). Защита от инъекций в поле имя там
есть. В качестве теста, пробовал сам ввести эту ахинею и отправить себе на
почту, не пропускает. Смотрел ip адреса с которых идет отправка (хотел
заблокировать), но это мобильные операторы — МТС, ТЕЛЕ2, МЕГАФОН,
заблокировав, заблокирую всех мобильных подписчиков. В статистике плагина
видно, что все эти подписки идут со страницы http://ruinterbiz.ru//
с протокола http и двумя слешами, у меня стоит https и
естественно переадресация, при попытке ввода адреса с протоколом http и
двумя слешами, перебрасывает на главную страницу сайта, то есть этой
страницы я не нашел. Так же сервера nginx и Apache постоянно
перезапускаются, пару раз в час!
Предпринятые действия:
* Активирован плагин Akismet Anti-Spam, количество спам рассылки
уменьшилось в разы, было 50-60, стало 5-6 штук в день.
* Проверен домашний компьютер на вирусы (с которого захожу), мобильник НЕ
ПРОВЕРЯЛ (с него тоже иногда юзаю, но уже не сейчас)
* Проверен сервер программой AI-BOLIT , ничего не выявлено, отправки
продолжаются!
* Изучил access-log сервера, выяснил, что отправка идет моим скриптом из
плагина.
* Изучение main.log тоже ничего не дал. Замечено
постоянно мелькающая моя почта с gmail *******@gmail.com , может её
взломали и аккаунт в гугле?
* Визуальная проверка файлов на сервере, тоже ничего не дала, были
просмотрены папки на предмет левых РНР скриптов, и содержимое .htaccess
* По SSH через консоль была отправлена команда:
grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/ > /var/www/backlist.txt
Полученный файл скачен и изучен, файл пуст.
* При просмотре лог файлов замечено, постоянный подбор почтовых адресов от домена,
путем подставления разных слов до @ (собаки). В случаи угадонного имени -
отправка почты адресату.
Предполагаемые действия:
Сменить пароль от SSH, почты и БД - Выполнено!
Злоумышленник по прежнему работает!
ВОПРОСЫ:
* Как может происходить отправка такого спама? — (в общих чертах, если
можно), злоумышленник получил полный контроль над сайтом?
* Что это за страница с протоколом http и двумя слешами, перебрасывающая
на главную моего сайта и как её найти?
* Может ли спамер действовать через аккаунт гугла и мою почту
********@gmail.com
* Причина перезапуска серверов nginx и Apache, как искать и что делать?
* Нужно ли менять пароли в аккаунте гугла и от почты
*******@gmail.com ?
* Какой командой можно проверить ВСЕ файлы на предмет изменения на
сервере за последнии 2-3 месяца через SSH?
* Может ли идти DOS атака на сервер из вне, с перебором почты отправителя
или всетаки что то закинуто на сервер?
Заранее огромное спасибо за развернутый ответ, буду рад любому совету и
ссылкам на полезный мануал.