Hoe kan ik mijn Joomla Scannen op malware

Ik ben net verhuist naar Wned en het lijkt alsof mijn Joomla 3 site mails verstuurd waar ik geen weet van heb. Ik denk dat het een mailing met Acymailing is die bij 500 van de 1000 bleef hangen en blijft proberen maar de host vraagt of ik mijn site wil controleren op spammers, malware of hacks voor hij mijn limiet van 500 mails per dag verhoogt naar 1000 of meer.


Weet iemand van jullie hoe ik dat kan doen? Liefst met een gratis component die betrouwbaar is want zijn advies om alle files op datum en vreemde scripts te controleren gaat mij boven mijn pet.

Dat is wel de beste manier om je site te controleren. Maar je zou eens hier of hier kunnen beginnen. Let wel: ook als je daar geen meldingen krijgt, wil dat niet per definitie zeggen dat je site geen malware bevat.

Ik heb de component van wemahu.com/ een scan laten doen en daar kwam naast een onbruikbaar lange lijst (met 30000 files die nieuw waren maar dat zijn er zó veel en die lijken me allemaal gewone geïnstalleerde files en geüploade foto's) ook deze meldinge uit. Lijkt dit jullie urgente waarschuwingen?? En zou ik de meeste file gewoon weg kunnen halen??

Astrid, je schrijft

Dat is wel de beste manier om je site te controleren

heb je tips waar ik dan op moet letten of ergens een handleiding online hoe je dat doet? Ik voel me een beetje dom maar wil het wel graag goed checken.

Hoi,

Het citaat wat jij hier boven neemt is een bevestiging van de actie die je hoster vraagt (scannen op malware, spam & hacks). Astrid geeft dus aan dat scannen de beste manier is, en geeft daarna twee links naar online scanners.

Naar mijn weten, is er on-line geen handleiding of gids. Indien je wel het vermoeden hebt van malware, zou je ook even je eigen computer moeten scannen. Het kan namelijk zo zijn dat de besmetting van je eigen PC komt. Als je PC schoon is, moet je daarna ook je inloggegevens even veranderen (FTP, database, control panel(directadmin, plesk etc.) en indien van toepassing de accounts die je met SSH gebruikt).

Ik heb je codes verwijderd omdat er een aantal virusscanners gingen "piepen". Dus je site is waarschijnlijk zwaar besmet.

Een aantal virusscanners gingen piepen?
Word dit forum ook gescant op foute codes?

Besmet dus.... Mmmm ik ga er in duiken maar dat zal nogbniet meevallen vrees ik.

Ik heb diverse scans gedraaid en die vinden geen malware maar ik blijf de melding uit DirectAdmin krijgen dat er mailtjes verstuurd worden. Enig idee hoe ik kan achterhalen waar die mailtjes vandaan komen?

Subject: Warning: 1000 emails have just been sent by id788487

The id788487 account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/id788487.bytes file, it was found that the highest sender was root@vserver4.wned.nl, at 983 emails.

The top authenticated user was id788487, at 983 emails.
This accounts for 98% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.


The most common path that the messages were sent from is /, at 1001 emails (100%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.




This warning was generated because the 1000 email threshold was hit.

================================
Automated Message Generated by DirectAdmin

En naar welke adressen worden die mails verstuurd?

Ik weet niet of en zo ja hoe ik daar achter kan komen? Ik heb alleen weet van deze waarschuwing.
Ik hoopte dat de hoster het me kon zeggen maar ik geloof dat die dat ook niet 123 kan.
Iemand een idee hoe dat te achterhalen is?

Direct Admin -e-mailaccounts - e-mailgebruik

Goeie tip ja, daar zie ik hele lijsten.
Maar mij zegt het nog niet door wie, aan wie en met welke inhoud helaas.
Twee soorten, steeds één van 781 B en één 1,16 KB verder allemaal gelijk op die laatste ID na.

Time - Sender Authentication - Sender Host - Size - Destination Path - ID
May 7 11:37 - root@*****.nl - id788487 - 781 B - mijnID@*****.nl - / -1YqIEn-0002J3-8W

Ipv **** staat er dan "servernummer.host"

Dus van de "root" naar "mij" !?!?!?!?
Edit Astrid: Ik heb de rest van je vraag afgesplitst en er hier een nieuw draadje voor gemaakt. Dit heeft niets meer met het oorspronkelijke onderwerp te maken..