Clicky

Jump to content
  • Sign Up
Sign in to follow this  
Leo Amarante

Invasão com envio em massa de spam.

Recommended Posts

Olá pessoal...

Estou com um baita problema e necessito de algumas dicas. Há alguns dias a conta principal de minha revenda está sendo alvo de constantes invasões no qual através de alguma brecha estão gerando um arquivo chamado 1122.php que trata-se de um script de envio em massa de spam e acredito que estão inserindo através de alguma brecha no meu site que é em joomla.

Através desse script estão enviando spam através da conta user@prefixo do server.

Por duas vezes tive minha revenda suspensa pelo provedor devido a esses envios. Na primeira vez alterei todas as senhas de todas as contas mas hoje voltou a acontecer novamente. Ja repassei todos os arquivos e não consegui identificar onde está ocorrendo essa brecha.

A única certeza que tenho é que esse comando gera apenas o script com nome de 1122.php, por isso recorro aos amigos do fórum ja que meu provedor simplismente lavou suas mãos e disse que não pode fazer nada por mim e se ocorrer de novo.. bye... bye... só pegar o backup e se mandar.

Existe alguma maneira de impedir o envio de e-mails apartir dessa conta ou impedir que esse script seja criado dentro da minha conta? Vi alguns tópicos sobre comandos no .htaccess e PHP.ini que podem impedir a criação de scripts através desses comandos. Sei que isso não é a solução ideal mas não posso tirar meu site do ar e enquanto não encontro essa falha preciso fazer algo urgente para não voltar a ocorrer esse problema novamente.

Share this post


Link to post
Share on other sites

em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?


ConquistaWeb.Com

Twitter: @mrbomber - @conquistaweb

Share this post


Link to post
Share on other sites
em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?

olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.

Share this post


Link to post
Share on other sites

Para evitar o sending destes emails, você pode habilitar em tweak settings "Prevent nobody" para que os emails não sejam enviados sem autenticação.

Já sobre a falha, é uma questão de analisar.


BrasilHOSP | Hospedagem de Sites, Revenda de Hospedagem, Servidores Virtuais e Streaming! - http://www.brasilhosp.com.br/ / http://www.rvcore.com/

NetGerencia | Gerenciamento de Servidores, Cloud Server Gerenciado. - http://www.netgerencia.com.br/

Share this post


Link to post
Share on other sites
olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.

mod_security atualizado ?

Share this post


Link to post
Share on other sites

Amigo, Jooma e uma plataforma muito insegura.

Até sua documentação informa sobre os riscos.

Se não tiver grande conhecimento, será apenas dor de cabeça.

O ideal seria remover a sua conta e criar o seu site em nova plataforma.

Essas plataformas CMS gratuitos são muito vulneráveis.


HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ -  Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.
A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br

Share this post


Link to post
Share on other sites

A sua versão do Jooma e a mais atualizada?

Existem muitos plugins instalados?


HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ -  Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.
A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br

Share this post


Link to post
Share on other sites

tive esse problema recentemente com o wordpress utilizado em um portal aqui da minha cidade, que nos pertence, até que ontem descobri a origem do spam. foi através desse plugin: http://wordpress.org/extend/plugins/dm-albums/ estava sendo enviado spam através de meu servidor.


ARTE7 Digital | www.arte7digital.com.br - sua empresa precisa de um novo site? entre em contato comigo!

Share this post


Link to post
Share on other sites
A sua versão do Jooma e a mais atualizada?

Existem muitos plugins instalados?

olá @redenflu

Sim, é a versão mais atualizada e inclusive com paths de segurança lançados.

Fiz uma faxina em tudo que não estava usando, realmente vou ter que contratar o desenvolvimento de um site personalizado.

Pelo menos essa noite correu tudo bem depois das alterações que fiz.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...