Estão enviado paginas fakes da google dentro da hospedagem até mesmo em dominios vazios sem nenhum conteudo
Abaixo está algo estranho que achei dentro da hospedagem (parecem que executaram este script.)
Agradeço a ajuda desde já pois o datacenter ta caindo em cima por causa destas paginas fake.

Removido pela moderação!

Seu servidor está compilado com suphp ?

 

Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão )

 

Coloque isso em disable_functions no php.ini central

 

disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r

O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/

 

Em poucos segundos é possível hackear todos sites do servidor e alterar as index.

 

É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement

 

Abraços

geralmente este tipo de ataque é pode meio e wordpress ou joomla DESATUALIZADOS

Seu servidor está compilado com suphp ?

 

Se estiver, outra coisa importante é desativar comandos no php.ini central do servidor ( se vc estiver usando múltiplas versões do PHP você precisa configurar o php.ini central de cada versão )

 

Coloque isso em disable_functions no php.ini central

 

disable_functions = dl, exec, shell_exec, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, shell-exec, fpassthru, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, symlink, ini_restore, posix_getpwuid, print_r

 

 

O que pode estar acontecendo é um site hackeado pegar a lista de users do seu servidor e então copia em massa estes arquivos para dentro de cada /home/user/public_html/

 

Em poucos segundos é possível hackear todos sites do servidor e alterar as index.

 

É o famoso mass defacement em ação. Suphp + comandos bloqueados no php.ini central resolve o problema e isola por completo uma conta no servidor evitando assim qualquer tipo de mass defacement

 

Abraços

 

 

geralmente este tipo de ataque é pode meio e wordpress ou joomla DESATUALIZADOS

Atualmente estou utilizando Fast CGI os muitas contas invadidas não tem nada dentro!

mude para suphp

da problema com algumas funções que usamos :/

Seu servidor foi invadido, pouco adianta as alterações acima citadas se o cara tiver controle... Você precisa primeiramente identificar se tem algum exploit (sempre tem), identificar o tipo de ataque, conta alvo se houver etc etc.

 

Geralmente eu indico a aquisição do CXS (http://www.configserver.com/cp/cxs.html) para meus clientes, facilita em 90% todo trabalho. Estou a disposição para qualquer ajuda.

Já encontrei e retirei o exploit más o cara executa novamente esta licença deste programa é um valor bem alto pela quantidade de servidores que tenho.

tem gratuitos, comandos específicos, enfim! clamAV é otimo