Boa tarde pessoal do fórum, 

 

Eu acabo de receber um email do meu datacenter (hivelocity) informando que meu servidor foi usado para um ataque DDOS (vejam abaixo). 

 

Minha primeira atitude foi resetar a senha root do servidor e iniciar a pesquisa do IP que foi atacado, e pra variar eu não encontrei nada, 

 

O mais interessante é que o ataque partiu do IP do hostname do servidor, (uso um outro ip para o apache) pensei que alguma instalação de wordpress, joomla e cia ltda pudesse estar desatualizada abrindo uma brecha para um possível ataque usando meu servidor. 

 

Alguém pode me dar uma Luz de onde procurar se há alguma malware nesse servidor? 

 

Meu servidor é um linux com cPanel+Cloudlinux instalado.

 

EMAIL QUE RECEBI:

 

Hi, We have detected a network attack from an IP ( xxx.xxx.xxx.xxx ) from your network, a computer connected to it is probably infected and being part of a botnet. Please check it and fix it up as soon as possible. Thank you.
 

Saludos, Hemos detectado un ataque desde una ip ( xxx.xxx.xxx.xxx ) de su red, probablemente el equipo este infectado y este dentro de una botnet. Porfavor revisenlo y solucionenlo en la mayor brevedad posible. Muchas gracias. 

The IP xxx.xxx.xxx.xxx has just been banned by Fail2Ban after
6 attempts against apache-attack.

Domain: perfumebarato.com (91.192.110.161)
 

Olá, samos dois, nunca vir isso, acabei de colocar o cloud do cliente online e veja o que recebi do centro de dados,

 

 

Cloud no momento, 

 

Vo reviver este topico não para fazer flood mais pra que alguem veja ele e ajuda vocês :|

 

abs :)

Mas se o ataque foi em fevereiro, eu acho pouco provável que ainda estejam precisando de ajuda.

FEchado.