Jump to content

Invasões de hacker no index.htm


redirect

Recommended Posts

pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker.

 

já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa).

 

o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok.

Link to comment
Share on other sites

É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html
Mas acho que não, pelo que você disse isso ocorre somente em algumas contas.
#VaiEntender
Talvez essas senhas em seu servidor estejam fracas.
Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O
Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes.
Não sei se estejam fazendo o mesmo em seu servidor.
 

Link to comment
Share on other sites

pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker.

 

já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa).

 

o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok.

 

Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor.

Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país.

Hospedagem, Revendas e VPS? www.cloudx.com.br

Link to comment
Share on other sites

É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html

Mas acho que não, pelo que você disse isso ocorre somente em algumas contas.

#VaiEntender

Talvez essas senhas em seu servidor estejam fracas.

Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O

Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes.

Não sei se estejam fazendo o mesmo em seu servidor.

 

 

alexandre, eu alterei as senhas para senhas fortes e acredito que os clientes não as mudaram.

 

Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla).

Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve.

 

como eu disse os sites são sites em html apenas. o servidor não tem o cloudlinux instalado pois é um vps openvz, ele resolve esse tipo de ataque com o cagefs habilitado? e onde desabilito essa opção "+FollowSymlinks"? obrigado.

Link to comment
Share on other sites

Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor.

Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país.

 

isso poderia sobre carregar o CSF e o servidor? é um vps openvz (tem bastante memória).

Link to comment
Share on other sites

Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla).

Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve.

 

consegui seguindo esses passos (vistos neste link):

 

WHM >> Service Configuration >> Apache Configuration >> Global Configuration

1.) Look for the section labeled Directory '/' Options

2.) Disable (uncheck) FollowSymLinks

3.) Enable (check) SymLinksIfOwnerMatch

4.) Click Save to finalize changes.

 

Isso irá ajudar a resolver?

Link to comment
Share on other sites

consegui seguindo esses passos (vistos neste link):

 

WHM >> Service Configuration >> Apache Configuration >> Global Configuration

1.) Look for the section labeled Directory '/' Options

2.) Disable (uncheck) FollowSymLinks

3.) Enable (check) SymLinksIfOwnerMatch

4.) Click Save to finalize changes.

 

Isso irá ajudar a resolver?

resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza

Link to comment
Share on other sites

resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza

 

obrigado pela ajuda. outra coisa que vi é que o suPHP não "combina" com EAccelerator, e como os dois estavam ativados desde o mÊs passado e, justamente após isso passei por esse problema... acredito que o problema possa estar aí pois nunca tinha tido ele antes. bom, rodei novamente o EasyApache retirando o EAccelerator.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?