Добрый день. Прошу совета.
Получил письмо от хостера, о том, что поступила жалоба на спам, разосланый с моего сервера.

Предложили провериться на вирусы сканом, который они установили на сервер.
Ничего не нашлось.

Предложили просканировать ай-болит.пхп - этот старался около 19 часов - и нашел файлы с подозрением на содержание "вредоносного" кода.

Но эти файлы оказалась файлами движка. Те файлами ядра, модулей и тп. Даже изображения товаров попали в черный список (точнее красный)
Прчем на хостине три сайта на одной версии престашопа и файлы собраны одинаковыми группами. те одни и те же с одинаковых движков.


ХОстинг предлагает обратиться к третьим лицам для устранения проблемы, и излечения файлов. Разумеется эта услуга платная. Около 1000 рублей за домен.

Скажите, как на это реагировать. Похоже на какой то разводняк и навязчивый сервис. Возраст сайтов разный. от несколких лет до одного месяца. И тоже "заражен".
Пока беседа с хостером носит дружественный характер, но она зашла в тупик. И я не пойму - я это обязан сделать или они просто советуют.

В общем нужен совет, парни.

Если имеется бекап 2-3 мес. давности запустите diff. При наличии измененных файлов проверьте данные файлы "вручную".
Если зараженные файлы имеются: откройте логи и смотрите когда, кем и как они были занесены на ваш сервер.
Измените все пароли (ftp, доступы к сайту), проверьте личные компьютеры на наличие вредоносного ПО, троянов и тп.
Приложите пару писем (с заголовками) разосланных с вашего аккаунта.

Пароли изменил.
Файлы - это файлы движков. Занесены были либо с установкой либо с модулями. Давно.
Бэкапы есть. А что такое diff ?

\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\
[ SpamCop V4.8.2.018 ]
This message is brief for your comfort. Please use links below for details.

Email from "тут адрес моего сервера" / Sat, 04 Jul 2015 16:54:48 +0200
https://www.spamcop.net/w3m?i=z6329468860z1a45450......a7f4cc97c30dd9z
\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\===\

Это то, что дали хостеры. Больше ничего нет

Вот тут лежит отчет
http://soapexpert тчк ру /AI-BOLIT-REPORT-08-07-2015_11-14-345035.html
(замените точка ру на правильные)

Про diff - разобрался. Это сравнение файлов. Сам в терминале не особо силен - так общие понятия, буду пробовать утилитами с графическим интерфейсом.
Отпишусь

modules/Csync/
тут точно вирусов нет, айболиту не понравился обфускатор

Да. там тоже "нашел" ))
В общем градус давления со стороны хостера спал.
Более того, я обратился в контору, которая специализируетя на лечении сайтов. Они просканировали (правда только один - основой мой домен) - но сказали, что все нормально, лечить там нечего.
Хостер предложил понаблюдать за логами почтового сервера. И при активности - сообщить. Пока все. Сам хостинг мне нравится, переезжать неохота.

По отчету:

Содержит странный код (скорее всего файлы темы содержат в себе ссылки или код для спам-рассылки или шелл или троян). Удалите данный блог (удалите wordpress). В индексе его почти нет.


Модуль "prestapress" скорее всего ворованный, скорее всего дырявый, скорее всего содержит ошибки.
В каталоге найден вебасист - сделайте полный бекап и удалите (если не используете).
Проверять jpg файлы не нужно! Запускайте проверку для: .*php и .*js.

Удалите с сервера все неиспользуемые скрипты.
Включите логи: mail и ждите доп. активности.

timthumb.php это оказался сторонний скрипт. для формирования картинок. обновил.
из вордпресса удалил все темы, удалил ссылки из футера (хотя по вашему линку это не активная тема была, но удалил все равно)
Товарищ запустил крон, пасёт очередь мейлов. Наблюдаю