Olá pessoal...

Estou com um baita problema e necessito de algumas dicas. Há alguns dias a conta principal de minha revenda está sendo alvo de constantes invasões no qual através de alguma brecha estão gerando um arquivo chamado 1122.php que trata-se de um script de envio em massa de spam e acredito que estão inserindo através de alguma brecha no meu site que é em joomla.

Através desse script estão enviando spam através da conta user@prefixo do server.

Por duas vezes tive minha revenda suspensa pelo provedor devido a esses envios. Na primeira vez alterei todas as senhas de todas as contas mas hoje voltou a acontecer novamente. Ja repassei todos os arquivos e não consegui identificar onde está ocorrendo essa brecha.

A única certeza que tenho é que esse comando gera apenas o script com nome de 1122.php, por isso recorro aos amigos do fórum ja que meu provedor simplismente lavou suas mãos e disse que não pode fazer nada por mim e se ocorrer de novo.. bye... bye... só pegar o backup e se mandar.

Existe alguma maneira de impedir o envio de e-mails apartir dessa conta ou impedir que esse script seja criado dentro da minha conta? Vi alguns tópicos sobre comandos no .htaccess e PHP.ini que podem impedir a criação de scripts através desses comandos. Sei que isso não é a solução ideal mas não posso tirar meu site do ar e enquanto não encontro essa falha preciso fazer algo urgente para não voltar a ocorrer esse problema novamente.

em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?

em que pasta esta sendo criado este arquivo?

encontrou outro arquivo diferente dos seus, nem que seja em cache?

ta rodando suphp com suexec?

mod_security ativado com as suas regras?

olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.

Para evitar o sending destes emails, você pode habilitar em tweak settings "Prevent nobody" para que os emails não sejam enviados sem autenticação.

Já sobre a falha, é uma questão de analisar.

olá @jcc.sousa...

Encontrei o script na raiz e verifiquei todas as outras pastas e está tudo normal...

Servidor com suphp e mod_security habilitado com as configurações padrão de segurança.

mod_security atualizado ?

Já tive problemas parecidos e meu site também é em Joomla. Se o core do Joomla está atualizado, a culpa é de algum módulo ou componente ou plugin.

Verifique no diretório de extensões do Joomla se tem alguma atualização.

O meu problema estava no Ninja RSS Syndicator.

Fique de olho neste feed: http://feeds.joomla.org/JoomlaSecurityNews

Amigo, Jooma e uma plataforma muito insegura.

Até sua documentação informa sobre os riscos.

Se não tiver grande conhecimento, será apenas dor de cabeça.

O ideal seria remover a sua conta e criar o seu site em nova plataforma.

Essas plataformas CMS gratuitos são muito vulneráveis.

A sua versão do Jooma e a mais atualizada?

Existem muitos plugins instalados?

tive esse problema recentemente com o wordpress utilizado em um portal aqui da minha cidade, que nos pertence, até que ontem descobri a origem do spam. foi através desse plugin: http://wordpress.org/extend/plugins/dm-albums/ estava sendo enviado spam através de meu servidor.

A sua versão do Jooma e a mais atualizada?

Existem muitos plugins instalados?

olá @redenflu

Sim, é a versão mais atualizada e inclusive com paths de segurança lançados.

Fiz uma faxina em tudo que não estava usando, realmente vou ter que contratar o desenvolvimento de um site personalizado.

Pelo menos essa noite correu tudo bem depois das alterações que fiz.