Leo Amarante Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 Olá pessoal... Estou com um baita problema e necessito de algumas dicas. Há alguns dias a conta principal de minha revenda está sendo alvo de constantes invasões no qual através de alguma brecha estão gerando um arquivo chamado 1122.php que trata-se de um script de envio em massa de spam e acredito que estão inserindo através de alguma brecha no meu site que é em joomla. Através desse script estão enviando spam através da conta user@prefixo do server. Por duas vezes tive minha revenda suspensa pelo provedor devido a esses envios. Na primeira vez alterei todas as senhas de todas as contas mas hoje voltou a acontecer novamente. Ja repassei todos os arquivos e não consegui identificar onde está ocorrendo essa brecha. A única certeza que tenho é que esse comando gera apenas o script com nome de 1122.php, por isso recorro aos amigos do fórum ja que meu provedor simplismente lavou suas mãos e disse que não pode fazer nada por mim e se ocorrer de novo.. bye... bye... só pegar o backup e se mandar. Existe alguma maneira de impedir o envio de e-mails apartir dessa conta ou impedir que esse script seja criado dentro da minha conta? Vi alguns tópicos sobre comandos no .htaccess e PHP.ini que podem impedir a criação de scripts através desses comandos. Sei que isso não é a solução ideal mas não posso tirar meu site do ar e enquanto não encontro essa falha preciso fazer algo urgente para não voltar a ocorrer esse problema novamente. Link para o comentário Compartilhar em outros sites More sharing options...
Mr Bomber Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 em que pasta esta sendo criado este arquivo? encontrou outro arquivo diferente dos seus, nem que seja em cache? ta rodando suphp com suexec? mod_security ativado com as suas regras? Link para o comentário Compartilhar em outros sites More sharing options...
Leo Amarante Postado Janeiro 5, 2012 Autor Compartilhar Postado Janeiro 5, 2012 em que pasta esta sendo criado este arquivo? encontrou outro arquivo diferente dos seus, nem que seja em cache? ta rodando suphp com suexec? mod_security ativado com as suas regras? olá @jcc.sousa... Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal... Servidor com suphp e mod_security habilitado com as configurações padrão de segurança. Link para o comentário Compartilhar em outros sites More sharing options...
Jordan Miguel Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 Para evitar o sending destes emails, você pode habilitar em tweak settings "Prevent nobody" para que os emails não sejam enviados sem autenticação. Já sobre a falha, é uma questão de analisar. Link para o comentário Compartilhar em outros sites More sharing options...
rubensk Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 olá @jcc.sousa... Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal... Servidor com suphp e mod_security habilitado com as configurações padrão de segurança. mod_security atualizado ? Link para o comentário Compartilhar em outros sites More sharing options...
mvcirino Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 Já tive problemas parecidos e meu site também é em Joomla. Se o core do Joomla está atualizado, a culpa é de algum módulo ou componente ou plugin. Verifique no diretório de extensões do Joomla se tem alguma atualização. O meu problema estava no Ninja RSS Syndicator. Fique de olho neste feed: http://feeds.joomla.org/JoomlaSecurityNews Link para o comentário Compartilhar em outros sites More sharing options...
redenflu Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 Amigo, Jooma e uma plataforma muito insegura. Até sua documentação informa sobre os riscos. Se não tiver grande conhecimento, será apenas dor de cabeça. O ideal seria remover a sua conta e criar o seu site em nova plataforma. Essas plataformas CMS gratuitos são muito vulneráveis. Publicidade digital? www.upeex.com Link para o comentário Compartilhar em outros sites More sharing options...
redenflu Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 A sua versão do Jooma e a mais atualizada? Existem muitos plugins instalados? Publicidade digital? www.upeex.com Link para o comentário Compartilhar em outros sites More sharing options...
jorgefilho Postado Janeiro 5, 2012 Compartilhar Postado Janeiro 5, 2012 tive esse problema recentemente com o wordpress utilizado em um portal aqui da minha cidade, que nos pertence, até que ontem descobri a origem do spam. foi através desse plugin: http://wordpress.org/extend/plugins/dm-albums/ estava sendo enviado spam através de meu servidor. Link para o comentário Compartilhar em outros sites More sharing options...
Leo Amarante Postado Janeiro 5, 2012 Autor Compartilhar Postado Janeiro 5, 2012 A sua versão do Jooma e a mais atualizada? Existem muitos plugins instalados? olá @redenflu Sim, é a versão mais atualizada e inclusive com paths de segurança lançados. Fiz uma faxina em tudo que não estava usando, realmente vou ter que contratar o desenvolvimento de um site personalizado. Pelo menos essa noite correu tudo bem depois das alterações que fiz. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados