Ir para conteúdo

Featured Replies

Postado

Olá pessoal...

Estou com um baita problema e necessito de algumas dicas. Há alguns dias a conta principal de minha revenda está sendo alvo de constantes invasões no qual através de alguma brecha estão gerando um arquivo chamado 1122.php que trata-se de um script de envio em massa de spam e acredito que estão inserindo através de alguma brecha no meu site que é em joomla.

Através desse script estão enviando spam através da conta user@prefixo do server.

Por duas vezes tive minha revenda suspensa pelo provedor devido a esses envios. Na primeira vez alterei todas as senhas de todas as contas mas hoje voltou a acontecer novamente. Ja repassei todos os arquivos e não consegui identificar onde está ocorrendo essa brecha.

A única certeza que tenho é que esse comando gera apenas o script com nome de 1122.php, por isso recorro aos amigos do fórum ja que meu provedor simplismente lavou suas mãos e disse que não pode fazer nada por mim e se ocorrer de novo.. bye... bye... só pegar o backup e se mandar.

Existe alguma maneira de impedir o envio de e-mails apartir dessa conta ou impedir que esse script seja criado dentro da minha conta? Vi alguns tópicos sobre comandos no .htaccess e PHP.ini que podem impedir a criação de scripts através desses comandos. Sei que isso não é a solução ideal mas não posso tirar meu site do ar e enquanto não encontro essa falha preciso fazer algo urgente para não voltar a ocorrer esse problema novamente.


Postado

em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?


Postado
  • Autor
em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?

olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.


Postado

Para evitar o sending destes emails, você pode habilitar em tweak settings "Prevent nobody" para que os emails não sejam enviados sem autenticação.

Já sobre a falha, é uma questão de analisar.


Postado
olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.

mod_security atualizado ?


Postado

Já tive problemas parecidos e meu site também é em Joomla. Se o core do Joomla está atualizado, a culpa é de algum módulo ou componente ou plugin.

Verifique no diretório de extensões do Joomla se tem alguma atualização.

O meu problema estava no Ninja RSS Syndicator.

Fique de olho neste feed: http://feeds.joomla.org/JoomlaSecurityNews


Postado

Amigo, Jooma e uma plataforma muito insegura.

Até sua documentação informa sobre os riscos.

Se não tiver grande conhecimento, será apenas dor de cabeça.

O ideal seria remover a sua conta e criar o seu site em nova plataforma.

Essas plataformas CMS gratuitos são muito vulneráveis.

Cloudx Serviços em nuvem! www.cloudx.com.br



Postado

tive esse problema recentemente com o wordpress utilizado em um portal aqui da minha cidade, que nos pertence, até que ontem descobri a origem do spam. foi através desse plugin: http://wordpress.org/extend/plugins/dm-albums/ estava sendo enviado spam através de meu servidor.


Postado
  • Autor
A sua versão do Jooma e a mais atualizada?

Existem muitos plugins instalados?

olá @redenflu

Sim, é a versão mais atualizada e inclusive com paths de segurança lançados.

Fiz uma faxina em tudo que não estava usando, realmente vou ter que contratar o desenvolvimento de um site personalizado.

Pelo menos essa noite correu tudo bem depois das alterações que fiz.


Visitante
Este tópico está impedido de receber novos posts.

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?