redirect Posted June 27, 2014 Share Posted June 27, 2014 pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker. já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa). o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok. 0 Quote Link to comment Share on other sites More sharing options...
Alexandre Lopes Posted June 27, 2014 Share Posted June 27, 2014 É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html Mas acho que não, pelo que você disse isso ocorre somente em algumas contas. #VaiEntender Talvez essas senhas em seu servidor estejam fracas. Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes. Não sei se estejam fazendo o mesmo em seu servidor. 0 Quote Link to comment Share on other sites More sharing options...
Leo Amarante Posted June 27, 2014 Share Posted June 27, 2014 Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. 0 Quote Link to comment Share on other sites More sharing options...
redenflu Posted June 27, 2014 Share Posted June 27, 2014 pessoal, algumas contas (sempre as mesmas) estão tendo seus arquivos index.htm alterados (ou criados, caso eles não existam) com uma página de hacker e com vírus (pelo menos o chrome acusou). nada além disso é alterado. alguém sabe dizer o que posso corrigir para acabar com isso? mês passado fiz uma boa varredura, endureci algumas coisas, mudei as senhas dessas contas e hoje veio novamente a reclamação de um cliente e varrendo o servidor encontrei vários sites com esse arquivo index.htm enviado pelo hacker. já tenho o modsecurity funcionando a mais de um ano, o maldetect está fazendo a varredura todo dia e o clamscan está varrendo no upload via ftp (isso configurei no mês passado achando que pudesse resolver algo). o csf está quase todo verdinho. tem alguns sites que nem arquivos tem e tem somente o index padrão (aquele que diz que o site foi hospedado na minha empresa). o servidor é linux centos 5 x86 com cpanel. também tenho o suphp/suhoshin e as permissões nos arquivos/pastas estão todas ok. Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor. Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país. 0 Quote Hospedagem, Revendas e VPS? www.cloudx.com.br Link to comment Share on other sites More sharing options...
redirect Posted June 27, 2014 Author Share Posted June 27, 2014 É como se o "cracker" estivesse criando um arquivo em /cpanel3-skel/public_html Mas acho que não, pelo que você disse isso ocorre somente em algumas contas. #VaiEntender Talvez essas senhas em seu servidor estejam fracas. Tenho um amigo que trabalha fazendo testes de seguranças em servidores, e ele tem um script cabuloso que consegue as senhas de contas FTP. o_O Pelo que eu sei, ele busca por senhas fáceis, então o certo seria usar senhas bem fortes. Não sei se estejam fazendo o mesmo em seu servidor. alexandre, eu alterei as senhas para senhas fortes e acredito que os clientes não as mudaram. Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. como eu disse os sites são sites em html apenas. o servidor não tem o cloudlinux instalado pois é um vps openvz, ele resolve esse tipo de ataque com o cagefs habilitado? e onde desabilito essa opção "+FollowSymlinks"? obrigado. 0 Quote Link to comment Share on other sites More sharing options...
redirect Posted June 27, 2014 Author Share Posted June 27, 2014 Uma boa também e bloquear Ips de países da África, Ásia de onde grande parte destas invasões ocorre no servidor. Caso tenha alguém destas regiões que acessa, libere apenas o bloco de IPs do país. isso poderia sobre carregar o CSF e o servidor? é um vps openvz (tem bastante memória). 0 Quote Link to comment Share on other sites More sharing options...
redirect Posted June 27, 2014 Author Share Posted June 27, 2014 Isso é uma ação de phishing no qual o invasor está acessando as contas através de algum script desatualizado (quase sempre wordpress e Joomla). Caso utilize o Cloudlinux habilite o CageFS. Caso não trabalhe com o cloudlinux desabilite a diretriz +FollowSymlinks e veja se resolve. consegui seguindo esses passos (vistos neste link): WHM >> Service Configuration >> Apache Configuration >> Global Configuration 1.) Look for the section labeled Directory '/' Options 2.) Disable (uncheck) FollowSymLinks 3.) Enable (check) SymLinksIfOwnerMatch 4.) Click Save to finalize changes. Isso irá ajudar a resolver? 0 Quote Link to comment Share on other sites More sharing options...
Sales Mendes Posted June 27, 2014 Share Posted June 27, 2014 consegui seguindo esses passos (vistos neste link): WHM >> Service Configuration >> Apache Configuration >> Global Configuration 1.) Look for the section labeled Directory '/' Options 2.) Disable (uncheck) FollowSymLinks 3.) Enable (check) SymLinksIfOwnerMatch 4.) Click Save to finalize changes. Isso irá ajudar a resolver? resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza 0 Quote Link to comment Share on other sites More sharing options...
redirect Posted June 27, 2014 Author Share Posted June 27, 2014 resolver acho que não, mas vai ficar melhor... pois no ramo de segurança e difícil dar 100% de certeza obrigado pela ajuda. outra coisa que vi é que o suPHP não "combina" com EAccelerator, e como os dois estavam ativados desde o mÊs passado e, justamente após isso passei por esse problema... acredito que o problema possa estar aí pois nunca tinha tido ele antes. bom, rodei novamente o EasyApache retirando o EAccelerator. 0 Quote Link to comment Share on other sites More sharing options...
Leo Amarante Posted June 27, 2014 Share Posted June 27, 2014 @redirect Eu tive muitos problemas com isso até que li em um fórum gringo que desabilitando essa diretriz resolvia. Eu fiz direto pelo ssh editando o arquivo httpd.conf mas não me lembro bem como fazia ,tinha salvo um tutorial aqui, vou ver se acho e posto ele. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.