Ir para conteúdo
  • Cadastre-se

Invasões de hacker no index.htm


redirect

Posts Recomendados

pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker.

 

já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa).

 

o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok.

Link para o comentário
Compartilhar em outros sites

É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html
Mas acho que não, pelo que você disse isso ocorre somente em algumas contas.
#VaiEntender
Talvez essas senhas em seu servidor estejam fracas.
Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O
Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes.
Não sei se estejam fazendo o mesmo em seu servidor.
 

Link para o comentário
Compartilhar em outros sites

pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker.

 

já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa).

 

o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok.

 

Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor.

Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país.

Publicidade digital? www.upeex.com

Link para o comentário
Compartilhar em outros sites

É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html

Mas acho que não, pelo que você disse isso ocorre somente em algumas contas.

#VaiEntender

Talvez essas senhas em seu servidor estejam fracas.

Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O

Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes.

Não sei se estejam fazendo o mesmo em seu servidor.

 

 

alexandre, eu alterei as senhas para senhas fortes e acredito que os clientes não as mudaram.

 

Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla).

Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve.

 

como eu disse os sites são sites em html apenas. o servidor não tem o cloudlinux instalado pois é um vps openvz, ele resolve esse tipo de ataque com o cagefs habilitado? e onde desabilito essa opção "+FollowSymlinks"? obrigado.

Link para o comentário
Compartilhar em outros sites

Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor.

Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país.

 

isso poderia sobre carregar o CSF e o servidor? é um vps openvz (tem bastante memória).

Link para o comentário
Compartilhar em outros sites

Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla).

Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve.

 

consegui seguindo esses passos (vistos neste link):

 

WHM >> Service Configuration >> Apache Configuration >> Global Configuration

1.) Look for the section labeled Directory '/' Options

2.) Disable (uncheck) FollowSymLinks

3.) Enable (check) SymLinksIfOwnerMatch

4.) Click Save to finalize changes.

 

Isso irá ajudar a resolver?

Link para o comentário
Compartilhar em outros sites

consegui seguindo esses passos (vistos neste link):

 

WHM >> Service Configuration >> Apache Configuration >> Global Configuration

1.) Look for the section labeled Directory '/' Options

2.) Disable (uncheck) FollowSymLinks

3.) Enable (check) SymLinksIfOwnerMatch

4.) Click Save to finalize changes.

 

Isso irá ajudar a resolver?

resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza

Link para o comentário
Compartilhar em outros sites

resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza

 

obrigado pela ajuda. outra coisa que vi é que o suPHP não "combina" com EAccelerator, e como os dois estavam ativados desde o mÊs passado e, justamente após isso passei por esse problema... acredito que o problema possa estar aí pois nunca tinha tido ele antes. bom, rodei novamente o EasyApache retirando o EAccelerator.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?