Rozwiązane Zablokowana strona w LinuxPL

Witam, 

Mój stary blog WP postawiony na hostingu LinuxPL został zablokowany przez admina (403) za rzekomy spam wysyłany przez moją stronę. Zalecono mi sprawdzenie całej strony pod kątem złośliwego kodu.

Pytanie do Was, strona została postawiona w sierpniu 2013 roku. Posiadała niewiele postów i w związku z tym mam dylemat co z tym wszystkim zrobić.

Opcja 1. Znaleźć kod, poprawić i postawić na nowo stronę?

Opcja 2. Przenieść domenę na nowy serwer i postawić na nowo stronę?

Opcja 3. Usunąć na obecnym hostingu wszystko związane z moją stroną, po czym postawić ją na nowo?

Czy przeniesienie domeny na nowy hosting będzie miało negatywny wpływ na pozycję domeny? Na te chwilę nie figuruje ona w Google, czy w związku z tym jest sens jeszcze prowadzenia bloga na tej domenie?

Przepraszam za ewentualny chaos w mojej wypowiedzi (jeżeli założyłem temat w niewłaściwym dziale to przepraszam), z góry dziękuje za pomoc

Strona odzyskana, temat do zamknięcia

A w jaki sposób niby wysyła strona spam? Mi się wydaje, że masz złośliwe oprogramowanie, które wysyła spam przez skrzynkę pocztową z konta hostingowego. 

Proponowałbym zrobić tak:

1. Przeskanować komputer pod kątem złośliwego oprogramowania.

2. Odinstalować program, którym wgrywasz pliki na serwer FTP.

3. Zainstalować go na nowo

4. Zmienić hasło dostępowe do konta hostingowego na trudniejsze (małe/duże litery, cyfry, znaki specjalne)

5. Logować się na FTP każdorazowo wpisując hasło do serwera (nie zapamiętywać w programie).

Napisz jeszcze do admina, żeby Ci wskazał dokładnie z którego miejsca niby następują ataki ze strony.

Jeżeli strona nie jest w indeksie (dostała bana) to nie ma sensu jej przenosić na nowy hosting.

Kolejny raz Linuxpl.com zablokował mi stronkę, dostałem taką treść maila:

"Witam

Z Państwa domeny blablabla.com był wysyłany SPAM. Domena zablokowana do czasu wyjaśnienia. 

W pierwszej kolejności proszę przeskanować komputer programem antywirusowym, wykonać aktualizację systemu oraz wszystkich programów (Adobe Flash, Reader czy też Total Commander i inne). Następnie proszę pozmieniać wszystkie hasła dostępowe i nigdzie ich nie zapisywać. Możliwe że trojan/robak wykradł hasło z komputera i przez FTP pozmieniał pliki u Pana na koncie. Inna opcja to dziurawe (stare, od dawna nieaktualizowane) skrypty stron. Sprawdzenie tego trzeba zlecić osobie, która wykonywała strony lub programiście. Proszę również sprawdzić  Gdy to wszystko będzie wykonane - "czysty" komputer oraz strony - proszę napisać do nas maila w sprawie odblokowania.

Antywirus wykrył następujące zagrożenia: 
FILE HIT LIST:
{HEX}php.base64.v23au.184 : public_html/wp-includes/SimplePie/XML/Declaration/lib72.php
{HEX}php.base64.v23au.184 : public_html/wp-includes/js/jquery/.system.php
{HEX}php.base64.v23au.184 : public_html/wp-includes/js/tinymce/themes/modern/.sql83.php
{HEX}php.base64.v23au.184 : public_html/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/javascript31.php
{HEX}php.base64.v23au.184 : public_html/wp-content/plugins/google-analytics-for-wordpress/admin/sql76.php
{HEX}php.base64.v23au.184 : public_html/wp-content/plugins/better-wp-security/modules/free/away-mode/css/smoothness/sql45.php
{HEX}php.base64.v23au.184 : public_html/wp-content/themes/Gameleon_theme/sounds/.model43.php
{HEX}php.exe.globals.398 : public_html/wp-content/themes/Gameleon_theme/includes/sliders/revslider/temp/update_extract/revslider.zip
{HEX}php.base64.v23au.184 : public_html/wp-content/themes/twentythirteen/images/menu.php

Proszę zaktualizować  CMS'a, moduly  i skrypty, a także zapoznać się z tematem - www.wir.vdl.pl oraz www.lzp.vdl.pl

Poniżej zamieszczam logi z wysyłki:
2015-03-10 08:00:54 cwd=/homeblablabla.com/public_html/wp-includes/js/jquery 5 args: /usr/sbin/sendmail -t -i -f sdgsdg@gamingexploits.com
2015-03-10 08:00:54 1YVE9u-0005pC-9E <= dsdgg@gasdagdasggg.com U=sggg P=local S=4490 id=5c49b7a591a17454492159e1f6efad0e@gamingexploits .com T="This trick makes young women f--k you" from <asdgg@sdgggg.com> for chegaildrez@gmail.com
--
2015-03-10 08:00:54 cwd=/home/sdff/domains/sdgasdgg.com/public_html/wp-includes/js/jquery 5 args: /usr/sbin/sendmail -t -i -f asdgg@asdgg.com
2015-03-10 08:00:54 1YVE9u-0005vV-HC <= agdg@sdgasdg.com U=asdgg P=local S=4488 id=8edf1945b654942a31db0db3e10b6fe5@gamingexploits .com T="This trick makes young women f--k you" from <asdf@asdf.com> for camtotashy@yahoo.com
--
2015-03-10 08:00:54 cwd=/home/asdf3/domains/sdfaH.com/public_html/wp-includes/js/jquery 5 args: /usr/sbin/sendmail -t -i -f ASDG@SDGG.com

2015-03-10 08:00:54 1YVE9u-0005zz-Sd <= sdg@sdagaaaa.com U=aaaaa P=local S=4471 id=7b793fbfd31384caea9997887244d66f@gamingexploits .com T="BANNED Seduction Method?" from <aaaaa@aaaaaaaaaaaaaa.com> for d_ice2011@yahoo.com"

Nie wiem czy to przez ten theme Gameleon, czy po prostu hosting szaleje i za byle co blokuje mi stronę.

O i dostałem jeszcze takiego maila :

A new message or response with subject:

Warning: 4000 emails have just been sent by daxu23

has arrived for you to view.
Follow this link to view it:

http://sdfffff.com:2222/CMD_TICKET?action=view&number=000003942&type=ticket


================================================== ====
Automatically generated email produced by DirectAdmin 1.43.0

Do Not Reply.

Pomożecie ?

A czy zrobiłeś wszystko wg mojej instrukcji, jaką podałem wyżej?

// Theme z jakiego źródła pobierałeś?

Właśnie robię to co tam mi napisali, z tego co pamiętam to theme pobierałem z themeforest

Ok, skoro theme legalny to już polowa sukcesu. Ja na Twoim miejscu to bym zrobił formata pełnego (skopiuj potrzebne pliki i je zeskanuj), zainstalował nowy system, zainstalował antywirusa, antyspyware'a, zmienił hasło dostepowe do FTP na nowe, mocniejsze i bardziej skomplikowane + nie dawała aby program do FTP je zapamiętywał tylko za kazdym razem wpisywał ręcznie. Miałem podobny problem jak Ty i tak sobie z nim poradziłem.

Niby wszystko było już w porządku, a tu znowu spam wyslany z mojej strony . Szkodliwe pliki znowu usunałem, ale teraz to nawet nie mogę wejść w mój panel admina na wp. Czy zostaje mi już tylko usunąć całą zawartość strony i postawić ją od nowa ?