Olá pessoal.

 

Nos últimos meses venho recebendo notificações de phishing constantemente, já realizei diversas alterações no servidor mas os ataques continuam e recebo notificações de phishing diariamente (chega a 20 por dia). Já contratei a syslint pra tentar resolver isso, mas nenhuma das medidas adotadas por eles resolveu o problema. 

 

No geral os ataques acontecem a instalações do WordPress, mas essas instalações estão atualizadas e com os plugins atualizados. Nem o antimalware da pyxsoft nem o cxs resolveram o meu problema, uso também cloudlinux e nada tem dado certo, o que vocês recomendam?

 

Meu servidor está na limestone.

Verifique as permissões dos arquivos, se o open_basedir esta ativo, e procure por algum php shell na maquina.

 

lembre-se também de fechar o acesso ssh para apenas os ips de gestão 

Complementando o que o colega acima comentou.

 

No caso do open_basedir, é necessário fazer a configuração (além de checar a opção do open_basedir)
 

Verifique a existencia de arquivos no wp que não sejam do sistema.

 

Verifique o acesso do cpanel (se tem ip fora do Brasil por exemplo) mesmo assim, recomendo que altere a senha do cpanel com força 100.

 

No wp, verifique se existem outros admins cadastrados (que não foi cadastrado por vocês)

 

E procure fazer hardering no wp p/ evitar exploração por defacers

 

Boa sorte.

Safe_Mode pode te ajudar nisso.

Enviado de meu XT1040 usando Tapatalk

Um simples plugin bugado pode ser o motivo, com o CXS você detecta facilmente o foco principal, onde estão upando ou modificando os arquivos indevidamente.

Um simples plugin bugado pode ser o motivo, com o CXS você detecta facilmente o foco principal, onde estão upando ou modificando os arquivos indevidamente.

Cxs não detecta phishing

O que pode acontecer é do arquivo do site ter código malicioso redirecionando o visitante pra outro site, neste caso o cxs pode identificar que o arquivo é suspeito...mas se a pagina não tiver criptografia e for uma fraude o cxs não identifica.

@chuvadenovembro como assim CXS não detecta phishing? Basta apenas inserir as regras adequadas a cada caso, encriptografado ou não, usando MD5 etc.

@RobertSP

 

Por padrão o cxs não detecta, já o md5 até pode ser usado p/ isso, mas acredito que não deve ser considerado solução definitiva, já que se o site com phishing tiver uma unica letra diferente do código deve mudar o md5

 

Além disso, se for colocar todo tipo de fraude no xtra, a carga do servidor deve ficar bem alta...Neste caso acredito que seja mais viavel o dono do site resolver o problema de forma preventiva.

Eu ativei Symlink Protection Advisory e mod_ruid2 + jailshell. 

 

Vamos ver se essas alterações farão alguma diferença.

Geralmente isto ocorre quando se usa tema pirata ou não atribui regras de segurança no Wordpress. Não adianta só manter atualizado.