Tentativa de Spam/Hack
M-am trezit de curand ca eu as fi trimis 500 de mail-uri printr-un site de-al meu cel mai probabil cu un .php. Primul meu gand a fost ca era o greseala pentru ca eu nu am folosit asa ceva. Problema s-a amplificat cand am incercat sa mut site-ul la altcineva in host. Lui fiind reprosata chestia cum ca are in host un fisier pentru pshising “Alibaba.htm”. Am cercetat toate fisiere si intr-adevar l-am gasit acolo. Fisierului nu i se pot aloca permisiuni, nu se poate sterge. La o scanare mai amanuntita a host-ului meu s-au gasit si alte fisiere cel mai probabil folosite pentru spam care nu stiu cum au fost introduse. Am sters tot si am schimbat si parolele ca sa nu mai probleme de aceasta natura.
/home/evoeccom/./domains/evoec.com/public_html/wp-content/themes/Avenue/cache/bvp.php: PHP.Mailer-3 FOUND /home/evoeccom/./domains/evoec.com/public_html/wp-content/themes/Avenue/cache/vx.php: PHP.Remoteadmin-3 FOUND /home/evoeccom/./domains/calatorii.org/public_html/wp-mega.php: PHP.Hide FOUND /home/evoeccom/./domains/calatorii.org/public_html/wp-content/themes/postage-sydney/cache/save.php: PHP.Mailer-7 FOUND /home/evoeccom/./domains/calatorii.org/public_html/wp-content/themes/postage-sydney/cache/external_2cdee6335ef0bc9ae5da6ed7653e872b.php: PHP.Hide FOUND /home/evoeccom/./domains/calatorii.org/public_html/wp-content/themes/postage-sydney/cache/external_5f3f0ba5969145c8f75408f7d22d5894.php: PHP.Hide FOUND /home/evoeccom/./domains/calatorii.org/public_html/wp-content/themes/postage-sydney/cache/n2.php: PHP.Shell-22 FOUND
Inca incerc sa realizez cum au fost “injectate” in host si de pe ce ip-uri. Totusi ma bucur ca n-am asistat la niste deface-uri :))
Unde ai hosting?
Krond.
Din cate am inteles cei de la krond sunt printre cei mai buni, nu prea inteleg cum ai putut avea problema asta..
Nu conteaza firma. Conteaza cine te ataca si cum. Krond m-au ajutat in toate pana acum.
@Gabi, este foarte posibil ca ei sa fie cei mai buni dar gandeste-te ca acest lucru nu-i face invincibili..
Care e cel mai bun host?
Ti-a fost injectat un shell prin care s-au urcat mai multe fisiere .php
Chiar aici e problema: Avenue/cache/bvp.php
Cel mai probabil tema ta accepta LFI (local file include) / upload file si asa a fost urcat.