redirect Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker. já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa). o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Alexandre Lopes Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html Mas acho que não, pelo que você disse isso ocorre somente em algumas contas. #VaiEntender Talvez essas senhas em seu servidor estejam fracas. Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes. Não sei se estejam fazendo o mesmo em seu servidor. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Leo Amarante Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
redenflu Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker. já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa). o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok. Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor. Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país. 0 Citar Publicidade digital? www.upeex.com Link para o comentário Compartilhar em outros sites More sharing options...
redirect Postado Junho 27, 2014 Autor Compartilhar Postado Junho 27, 2014 É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html Mas acho que não, pelo que você disse isso ocorre somente em algumas contas. #VaiEntender Talvez essas senhas em seu servidor estejam fracas. Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes. Não sei se estejam fazendo o mesmo em seu servidor. alexandre, eu alterei as senhas para senhas fortes e acredito que os clientes não as mudaram. Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. como eu disse os sites são sites em html apenas. o servidor não tem o cloudlinux instalado pois é um vps openvz, ele resolve esse tipo de ataque com o cagefs habilitado? e onde desabilito essa opção "+FollowSymlinks"? obrigado. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
redirect Postado Junho 27, 2014 Autor Compartilhar Postado Junho 27, 2014 Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor. Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país. isso poderia sobre carregar o CSF e o servidor? é um vps openvz (tem bastante memória). 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
redirect Postado Junho 27, 2014 Autor Compartilhar Postado Junho 27, 2014 Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. consegui seguindo esses passos (vistos neste link): WHM >> Service Configuration >> Apache Configuration >> Global Configuration 1.) Look for the section labeled Directory '/' Options 2.) Disable (uncheck) FollowSymLinks 3.) Enable (check) SymLinksIfOwnerMatch 4.) Click Save to finalize changes. Isso irá ajudar a resolver? 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Sales Mendes Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 consegui seguindo esses passos (vistos neste link): WHM >> Service Configuration >> Apache Configuration >> Global Configuration 1.) Look for the section labeled Directory '/' Options 2.) Disable (uncheck) FollowSymLinks 3.) Enable (check) SymLinksIfOwnerMatch 4.) Click Save to finalize changes. Isso irá ajudar a resolver? resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
redirect Postado Junho 27, 2014 Autor Compartilhar Postado Junho 27, 2014 resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza obrigado pela ajuda. outra coisa que vi é que o suPHP não "combina" com EAccelerator, e como os dois estavam ativados desde o mÊs passado e, justamente após isso passei por esse problema... acredito que o problema possa estar aí pois nunca tinha tido ele antes. bom, rodei novamente o EasyApache retirando o EAccelerator. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Leo Amarante Postado Junho 27, 2014 Compartilhar Postado Junho 27, 2014 @redirect Eu tive muitos problemas com isso até que li em um fórum gringo que desabilitando essa diretriz resolvia. Eu fiz direto pelo ssh editando o arquivo httpd.conf mas não me lembro bem como fazia ,tinha salvo um tutorial aqui, vou ver se acho e posto ele. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.