Estão Invadindo Meu Cpanel

[redjonatan]

Estão invadindo meu cpanel com um tal de shell e queria me proteger contra isso, alguma dica?

[chuvadenovembro]

Se você utiliza gerenciador de conteúdo (joomla e wordpress), sugiro que atualize imediatamente, verifique se os arquivos do seu site estão comprometidos (exemplo: verifique se há arquivos criados em uma data que você não enviou nada...)

 

Cuidado com plugins desconhecidos e/ou desatualizados, são os principais pontos de entrada pelos defacers...

 

Em gerenciadores de conteúdo, siga orientações de endurecimento (mudar o login admin p/ outro nome, mude o nome da tabela, coloque senha na pasta admin...etc)

 

Altere a senha do cpanel (sempre coloque senhas fortes)

 

Se você não tiver acesso a varredura de antivirus, peça para o suporte da sua hospedagem fazer.

 

A varredura com algum anti-malware (maldet por exemplo) ajudará bastante a identificar arquivos conhecidos por defacers que conseguem acesso ao cpanel.

 

Boa sorte :)

[redjonatan]

Não, eles colocam o site em um programa e entra nas pastas.

[Jesmarcelo]

Veja isso: http://www.cpaneladmin.com.br/2011/12/verificando-a-existencia-de-malware-no-servidor/

[redjonatan]

Coloquei isso mais não adianta nada, eu acho que eles usa um shell eles coloca o site lá no programa deles e pelo programa entra em pastas de configurações pasta que tem nome de db login e senha do cpanel ai eles sempre hackea! 

[Jesmarcelo]

Mas você executou o scan? qual foi o resultado?

[Gabriel Cardoso]

Isso acontece por falhas , você tem que rever todo seu Web Site , por exemplo uma falha.

 

Você vai lá posta uma imagem ou algum anuncio.

 

eles vão e colocam .// no final do site e vai dar um erro e irá mostrar sua DataBase.

 

Depois disso eles fazem .//url deles , eles mandam um arquivo para seu servidor e que da acesso total a eles de tudo.

 

 

Você tem que rever todo seu Web Site , cuidado.

[redjonatan]

Sim, mais é muita coisa o templete, forá o whmcs que eles também invade!

Não tem algum geito de eu bloquear isso não? com mod_security ou algum arquivo que coloca lá e tira o acesso?

[fthosting]

Pelo que entendi, você tem acesso root ao servidor..

 

Sugiro que instale cloud-linux, mesmo se algum site de um cliente seu seja vulnerável, não é possível invadir os outros clientes, pois o cloud-linux trabalha com um ambiente virtualizado, além da estabilidade e desempenho que o mesmo trás.

 

Caso não possa instalar o cloud-linux por algum motivo, sugiro que faça a atualização do kernel, instale mod_security e suhosin.

 

Ficar procurando a shell e a deletando, na minha opinião, não vai resolver nada..

 

Caso seja apenas uma hospedagem, e caso você hospede algum gerenciador de conteúdo/cms, como o amigo disse acima, recomendo que atualize seus arquivos. Caso já esteja atualizado, sugiro que entre em contato com a empresa que você hospeda, informando o problema.

[Alexandre Duran]

Pelo que entendi, você tem acesso root ao servidor..

 

Sugiro que instale cloud-linux, mesmo se algum site de um cliente seu seja vulnerável, não é possível invadir os outros clientes, pois o cloud-linux trabalha com um ambiente virtualizado, além da estabilidade e desempenho que o mesmo trás.

 

Caso não possa instalar o cloud-linux por algum motivo, sugiro que faça a atualização do kernel, instale mod_security e suhosin.

 

Ficar procurando a shell e a deletando, na minha opinião, não vai resolver nada..

 

Caso seja apenas uma hospedagem, e caso você hospede algum gerenciador de conteúdo/cms, como o amigo disse acima, recomendo que atualize seus arquivos. Caso já esteja atualizado, sugiro que entre em contato com a empresa que você hospeda, informando o problema.

 

A instalação do CloudLinux por si só não adianta, usa o CL com o CageFS habilitado.