Leo Amarante #1 Posted January 5, 2012 Olá pessoal... Estou com um baita problema e necessito de algumas dicas. Há alguns dias a conta principal de minha revenda está sendo alvo de constantes invasões no qual através de alguma brecha estão gerando um arquivo chamado 1122.php que trata-se de um script de envio em massa de spam e acredito que estão inserindo através de alguma brecha no meu site que é em joomla. Através desse script estão enviando spam através da conta user@prefixo do server. Por duas vezes tive minha revenda suspensa pelo provedor devido a esses envios. Na primeira vez alterei todas as senhas de todas as contas mas hoje voltou a acontecer novamente. Ja repassei todos os arquivos e não consegui identificar onde está ocorrendo essa brecha. A única certeza que tenho é que esse comando gera apenas o script com nome de 1122.php, por isso recorro aos amigos do fórum ja que meu provedor simplismente lavou suas mãos e disse que não pode fazer nada por mim e se ocorrer de novo.. bye... bye... só pegar o backup e se mandar. Existe alguma maneira de impedir o envio de e-mails apartir dessa conta ou impedir que esse script seja criado dentro da minha conta? Vi alguns tópicos sobre comandos no .htaccess e PHP.ini que podem impedir a criação de scripts através desses comandos. Sei que isso não é a solução ideal mas não posso tirar meu site do ar e enquanto não encontro essa falha preciso fazer algo urgente para não voltar a ocorrer esse problema novamente. Share this post Link to post Share on other sites
Mr Bomber #2 Posted January 5, 2012 em que pasta esta sendo criado este arquivo? encontrou outro arquivo diferente dos seus, nem que seja em cache? ta rodando suphp com suexec? mod_security ativado com as suas regras? ConquistaWeb.Com Twitter: @mrbomber - @conquistaweb Share this post Link to post Share on other sites
Leo Amarante Autor do tópico #3 Posted January 5, 2012 em que pasta esta sendo criado este arquivo? encontrou outro arquivo diferente dos seus, nem que seja em cache? ta rodando suphp com suexec? mod_security ativado com as suas regras? olá @jcc.sousa... Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal... Servidor com suphp e mod_security habilitado com as configurações padrão de segurança. Share this post Link to post Share on other sites
Jordan Miguel #4 Posted January 5, 2012 Para evitar o sending destes emails, você pode habilitar em tweak settings "Prevent nobody" para que os emails não sejam enviados sem autenticação. Já sobre a falha, é uma questão de analisar. BrasilHOSP | Hospedagem de Sites, Revenda de Hospedagem, Servidores Virtuais e Streaming! - http://www.brasilhosp.com.br/ / http://www.rvcore.com/ NetGerencia | Gerenciamento de Servidores, Cloud Server Gerenciado. - http://www.netgerencia.com.br/ Share this post Link to post Share on other sites
rubensk #5 Posted January 5, 2012 olá @jcc.sousa... Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal... Servidor com suphp e mod_security habilitado com as configurações padrão de segurança. mod_security atualizado ? Share this post Link to post Share on other sites
mvcirino #6 Posted January 5, 2012 Já tive problemas parecidos e meu site também é em Joomla. Se o core do Joomla está atualizado, a culpa é de algum módulo ou componente ou plugin. Verifique no diretório de extensões do Joomla se tem alguma atualização. O meu problema estava no Ninja RSS Syndicator. Fique de olho neste feed: http://feeds.joomla.org/JoomlaSecurityNews Conhece a SULMG? Share this post Link to post Share on other sites
redenflu #7 Posted January 5, 2012 Amigo, Jooma e uma plataforma muito insegura. Até sua documentação informa sobre os riscos. Se não tiver grande conhecimento, será apenas dor de cabeça. O ideal seria remover a sua conta e criar o seu site em nova plataforma. Essas plataformas CMS gratuitos são muito vulneráveis. █ HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ - Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.█ A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br Share this post Link to post Share on other sites
redenflu #8 Posted January 5, 2012 A sua versão do Jooma e a mais atualizada? Existem muitos plugins instalados? █ HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ - Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.█ A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br Share this post Link to post Share on other sites
jorgefilho #9 Posted January 5, 2012 tive esse problema recentemente com o wordpress utilizado em um portal aqui da minha cidade, que nos pertence, até que ontem descobri a origem do spam. foi através desse plugin: http://wordpress.org/extend/plugins/dm-albums/ estava sendo enviado spam através de meu servidor. ARTE7 Digital | www.arte7digital.com.br - sua empresa precisa de um novo site? entre em contato comigo! Share this post Link to post Share on other sites
Leo Amarante Autor do tópico #10 Posted January 5, 2012 A sua versão do Jooma e a mais atualizada? Existem muitos plugins instalados? olá @redenflu Sim, é a versão mais atualizada e inclusive com paths de segurança lançados. Fiz uma faxina em tudo que não estava usando, realmente vou ter que contratar o desenvolvimento de um site personalizado. Pelo menos essa noite correu tudo bem depois das alterações que fiz. Share this post Link to post Share on other sites
