Tavinlol Posted September 19, 2014 Share Posted September 19, 2014 Estão enviado paginas fakes da google dentro da hospedagem até mesmo em dominios vazios sem nenhum conteudo Abaixo está algo estranho que achei dentro da hospedagem (parecem que executaram este script.) Agradeço a ajuda desde já pois o datacenter ta caindo em cima por causa destas paginas fake. Removido pela moderação! 0 Quote Link to comment Share on other sites More sharing options...
MyWay Hosting Posted September 19, 2014 Share Posted September 19, 2014 Seu servidor está compilado com suphp ? Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão ) Coloque isso em disable_functions no php.ini central disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r 0 Quote Link to comment Share on other sites More sharing options...
MyWay Hosting Posted September 19, 2014 Share Posted September 19, 2014 O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/ Em poucos segundos é possível hackear todos sites do servidor e alterar as index. É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement Abraços 0 Quote Link to comment Share on other sites More sharing options...
Marco Antonio Posted September 19, 2014 Share Posted September 19, 2014 geralmente este tipo de ataque é pode meio e wordpress ou joomla DESATUALIZADOS 2 Quote Link to comment Share on other sites More sharing options...
Tavinlol Posted September 19, 2014 Author Share Posted September 19, 2014 Seu servidor está compilado com suphp ? Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão ) Coloque isso em disable_functions no php.ini central disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/ Em poucos segundos é possível hackear todos sites do servidor e alterar as index. É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement Abraços geralmente este tipo de ataque é pode meio e wordpress ou joomla DESATUALIZADOS Atualmente estou utilizando Fast CGI os muitas contas invadidas não tem nada dentro! 0 Quote Link to comment Share on other sites More sharing options...
Guest dessideriojr Posted September 19, 2014 Share Posted September 19, 2014 mude para suphp 0 Quote Link to comment Share on other sites More sharing options...
Tavinlol Posted September 19, 2014 Author Share Posted September 19, 2014 da problema com algumas funções que usamos :/ 0 Quote Link to comment Share on other sites More sharing options...
RobertSP Posted September 19, 2014 Share Posted September 19, 2014 Seu servidor foi invadido, pouco adianta as alterações acima citadas se o cara tiver controle... Você precisa primeiramente identificar se tem algum exploit (sempre tem), identificar o tipo de ataque, conta alvo se houver etc etc. Geralmente eu indico a aquisição do CXS (http://www.configserver.com/cp/cxs.html) para meus clientes, facilita em 90% todo trabalho. Estou a disposição para qualquer ajuda. 0 Quote Link to comment Share on other sites More sharing options...
Tavinlol Posted September 19, 2014 Author Share Posted September 19, 2014 Já encontrei e retirei o exploit más o cara executa novamente esta licença deste programa é um valor bem alto pela quantidade de servidores que tenho. 0 Quote Link to comment Share on other sites More sharing options...
RobertSP Posted September 19, 2014 Share Posted September 19, 2014 tem gratuitos, comandos específicos, enfim! clamAV é otimo 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.