Jump to content

Estão invadindo dominios da minha hospedagem


Tavinlol

Recommended Posts

Estão enviado paginas fakes da google dentro da hospedagem até mesmo em dominios vazios sem nenhum conteudo
Abaixo está algo estranho que achei dentro da hospedagem (parecem que executaram este script.)
Agradeço a ajuda desde já pois o datacenter ta caindo em cima por causa destas paginas fake.

Removido pela moderação!
Link to comment
Share on other sites

Seu servidor está compilado com suphp ?

 

Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão )

 

Coloque isso em disable_functions no php.ini central

 

disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r

Link to comment
Share on other sites

O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/

 

Em poucos segundos é possível hackear todos sites do servidor e alterar as index.

 

É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement

 

Abraços

Link to comment
Share on other sites

Seu servidor está compilado com suphp ?

 

Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão )

 

Coloque isso em disable_functions no php.ini central

 

disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r

 

 

O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/

 

Em poucos segundos é possível hackear todos sites do servidor e alterar as index.

 

É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement

 

Abraços

 

 

geralmente este tipo de ataque é pode meio e wordpress ou joomla DESATUALIZADOS

Atualmente estou utilizando Fast CGI os muitas contas invadidas não tem nada dentro!

Link to comment
Share on other sites

Seu servidor foi invadido, pouco adianta as alterações acima citadas se o cara tiver controle... Você precisa primeiramente identificar se tem algum exploit (sempre tem), identificar o tipo de ataque, conta alvo se houver etc etc.

 

Geralmente eu indico a aquisição do CXS (http://www.configserver.com/cp/cxs.html) para meus clientes, facilita em 90% todo trabalho. Estou a disposição para qualquer ajuda.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?