Problemas constantes com phishing

[tvoltolini]

Eu sei que cheguei um pouco atrasado aqui no tópico mas a primeira coisa que faria é tentar entender como o phishing foi feito, começando pelos logs de FTP e cPanel e depois checando os acessos ao admin do WP no log de acesso do domínio. Se ainda não encontrar nada, procura por qualquer comando POST nos logs de acesso, porque se já é reincidente o invasor já deve ter um gerenciador de arquivos upado lá pra ele usar (antigo c99shell). Esses arquivos quando são encriptados o CXS ou clamav realmente não pegam.

 

Voltando aos symlinks, você pode procurar por eles com o find: find /home/user/public_html/ -type l

Se tiver sido vítima de um ataque desse tipo, vão aparecer muitos resultados.

E se foi por symlink que o invasor teve acesso às instalações, não esquece de alterar as senhas dos bancos e do FTP das contas (e qualquer outra informação sensível que exista dentro do wp-config), pois ele certamente teve acesso a esses dados.

[Leo Amarante]

Se você utiliza CloudLinux, cogite a opção de ativar o CageFS. Com ele as contas serão isoladas e mesmo que uma seja invadida e o invasor utilize algum script shell para symlinks ele não conseguirá acessar outras contas, nem mesmo listá-las.

 

Caso não utilize o CL tente desabilitar o +FollowSynlinks, não irá acabar com o problema em 100% mas dificultará invasão de outras contas à partir de uma no mesmo servidor.