Jump to content

Erro em formulário de segurança.


Recommended Posts

Internal Server Error

UID of script "/home/httpd/html/index.php" is smaller than min_uid


suPHP 0.7.2
 
Veio a acontecer após um possível erro em formulários de segurança, a locaweb desativou o site e passou alguns passos, eu não sei exatamente como faze-lo, não fui eu quem construí o site e o responsável pelo serviço se encontra aposentado, como eu faria tais resoluções?
segue abaixo a mensagem da locaweb
Descrição Olá, O teor dessa mensagem tem caráter de segurança e deve ser respondido rapidamente. Caso não seja o programador/desenvolvedor ou responsável técnico por seu serviço, recomenda-se que direcione esta mensagem a ele de forma urgente. Foi identificado Formulário vulnerável sendo explorado no site "swattreinamentos.com.br" e para conter esta ação foi necessário desativá-lo temporariamente. URL vulnerável: --------------------------------------------------- http://swattreinamentos.com.br/index.php http://swattreinamentos.com.br/index.php?option=com_acajoom --------------------------------------------------- É importante o desenvolvedor ficar atento às possíveis brechas de segurança existentes e identificar quais arquivos não pertencem ao funcionamento de seu site ou se foram alterados/comprometidos. Nos logs HTTP/FTP há acessos que caracterizam exploração de vulnerabilidades em sua aplicação: --------------------------------------------------- 37.139.53.198 - - [02/Aug/2024:05:42:04 -0300] "POST /index.php?option=com_acajoom HTTP/1.1" 200 71136 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 50323 37.139.53.198 - - [02/Aug/2024:06:37:47 -0300] "POST /index.php?option=com_acajoom HTTP/1.1" 200 71136 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 64008 37.139.53.198 - - [02/Aug/2024:06:41:02 -0300] "POST /index.php?option=com_acajoom HTTP/1.1" 200 71136 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 57413 37.139.53.198 - - [02/Aug/2024:06:50:37 -0300] "POST /index.php?option=com_acajoom HTTP/1.1" 200 67978 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 65242 37.139.53.198 - - [02/Aug/2024:07:12:11 -0300] "POST /index.php?option=com_acajoom HTTP/1.1" 200 67978 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 49985 --------------------------------------------------- É sugerido que realize as ações abaixo: - Caso utilize a opção de envio com cópia, analise a possibilidade de remoção/ajuste desta vulnerabilidade. - Analisar outros tipos de vulnerabilidade no formulário. - Reforçar a segurança de autenticação na área administrativa do seu site; - Caso utilize algum CMS (Wordpress, Joomla, etc), atualize-o, assim como os temas e plugins instalados, a fim de evitar exploração de falhas de segurança no site; - Altere as senha de acesso ao FTP e banco de dados; - Sempre utilize senhas fortes; Um recurso que pode impedir a exploração desta vulnerabilidade: - Remover opção para que o usuário receba uma cópia da mensagem - Inserir um CAPTCHA ou reCAPTCHA para que as ferramentas automatizadas não consigam realizar envios/requests automáticas Teste a força de sua senha: https://password.kaspersky.com/br/ Existem ferramentas como o 6scan e Sucuri que ajudam a proteger, detectar e corrigir vulnerabilidades em seu site: http://6scan.com http://sitecheck.sucuri.net Peço que nos informe as respostas das questões abaixo: 1) Qual foi a causa raiz? 2) Quais etapas você tomou para resolver esse problema? 3) Que medidas você tomou para evitar que isso ocorra novamente? Ficamos no aguardo. Atenciosamente,
Link to comment
Share on other sites

Basicamente o resumo foi que a  Locaweb bloqueou realmente devido a uma exploração de vulnerabilidade em um formulário no site, dai pode gerar uma cadeia de B.O. e provavelmente o que eles devem ter "pego" foi um envio em massa de SPAM 99% de certeza disso... por que qualquer outra coisa eles nem ligariam.

Bom nesse contexto vi que segundo "eles" a vulnerabilidade é no componente com_acajoom do Joomla, então a forma mais "pratica" de resolver seria 

1º - verificar se o Joomla e todos os plugins/extensões instalados estão atualizados.  e ver também se não tem nenhum plug-in Pirata.

2º - (Não manjo muito de Joomla mais se eu não me engano essa com_acajoom é uma extensão de formulário integrada.) se for realmente o caso ou vc já desativa logo de cara ou saca fora.

3º - Altere todas as senhas de e-mail que tiver cadastrado no site como envio de SMTP....

4º - Procure um Plug-in de Recaptcha e instala em todos os formulários do site.

5º - Saia da Locaweb.

 

Ai vc informa para o suporte da Locaweb que vc atualizou os plug-ins que tava com pau, mudou todas as senhas, corrigiu as vulnerabilidades e está monitorando....

 

Sério sobre a  5º opção.... Brother, Saia da Locaweb ! kkkkkkkkkkkk não esqueça dessa kkkkkkkkkkkkkk

Link to comment
Share on other sites

Em 08/08/2024 em 16:59, DELTA SERVERS disse:

Essa Locaweb está complicada; toda semana há envios dessa empresa para alguns clientes.
O bom é que o pessoal do https://spfbl.net/ já lança uma regra para barrar esses e-mails.

 

image.png.58ec043e8b01a601cf4d91946492c098.png

 

image.png.7122bf29630e3f95b7d2c138c012eb84.png

image.png.d1714b43b1eb5c806dc18b9250e0dfb3.png

image.png.c629e4f823406d3059740ccf7303747a.png

image.png.60469da29cbc8e7439d6163dfddb6e77.png

 

 

Boa Noite a todos além da versão do Linux ser Centos 5 ! Esta empresa trabalha por quantidade e não qualidade ou seja entram 30 saem 30 e assim vai! Meu amigo aqui tem empresas muito boas para voce hospedar seu site, e nesta condição acredito que seu site seria muito melhor monitorado! verifique no admin do seu joomla se não esta usando a função mail para enviar emails se sim mude para autentiaçao pota; login;senha e servidor de email! mas sai de lá urgente e seja muito feliz!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?