Начну с того, что недавно ip почтового сервера получил бан на gmail, а я получил больную голову на 2 недели от клиентов. В итоге бесконечных переделок конфига Postfix, писем в поддержку гугла и так же после найденного спам листа, в который и попал ip – письма на gmail начали ходить. Но как так вообще произошло, ведь сервер защищен smtp авторизацией (tsl) ???
А виноваты были во всем сами пользователи хостинга…

Которые блядь ставили на свои папки и файлы права 777, потому, что видите ли Joomla у них не может плагины установить. В итоге тотальное заражение PHP Shell и JS Signature, которые судя по всему и рассылали спам с нашим ip.

Как бороться с PHP Shell?

Во первых проводить иногда проверки директории www на правильные права на файлы, а так же запускать

В итоге получаем примерно такой вот лог:

Остается только материться и ручками удалять зловредные файлы. Потом можно рекурсивно на всей папке веб применить права.

Проблема временно решена.

Как бороться с JS Signature и Redirect ?

Clamav может их и не обнаруживать. Эта падла прописывает сама себя в конец каждого доступного ей js файла, в конец файла, одну и ту же сигнатуру… Постойте ка, одну и ту же? На хабре не так давно   был выложен php скрипт, который рекурсивно сканирует директории и ищет эту самую сигнатуру. В другом режими он удаляет сигнатуру из файла и делает бекапы. В общем рекомендую всем, очищает от js полностью.

Оба файла сканера нужно залить в корневую директорию сайта и дать им права на выполнение 777, а так же, в некоторых случаях, сменить владельца и группу на владельца и группу владельца файлов в папке.

chown имя_владельца:имя_группы имя_файла

Для редактирования режима раскомментируйте или закомментируйте команды в файле вызова сканера ScanerStart.php.

Вызывать так:

Так же можно вызвать через веб, если настроены права. ваш_сайт/ScanerStart.php

http://habrahabr.ru/post/141938/

Ну и выкладываю его в приложении.

dScanner

И еще один сканер на другой тип js вируса

JSscan