Ik heb een aantal problemen met mijn Direct admin server, ik heb vanmorgen het volgende bericht ontvangen in het Message System:
The admin account has just finished sending 1000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.
After some processing of the /etc/virtual/usage/admin.bytes file, it was found that the highest sender was admin@server.*domein*.nl, at 1001 emails.
The top authenticated user was admin, at 1001 emails.
This accounts for 100% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.
The most common path that the messages were sent from is /home/admin/domains/*domein*.nl/public_html/wp-includes/js/jcrop, at 295 emails (29%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.
The top sending script was /home/admin/domains/*domein*.nl/public_html/wp-includes/js/jcrop/xktzhfrp.php(1189) : runtime-created function(1) : eval()'d code(1) : eval()'d code:1, at 335 emails, (33%).
Ik kom er nu dus ook achter dat mijn websites doorsturen naar malware sites, dit gebeurt trouwens alleen via de telefoon op de mobiele versies..
Ik heb mijn admin wachtwoord veranderd en opnieuw het wp-includes mapje geupload naar mijn directory , helaas gebeurt het nog steeds. Ik neem aan dat het met elkaar te maken heeft?
Hoe kan ik dit oplossen? Zit er iets in de databases van mijn websites?
Alvast bedankt
Groeten Jos