Cuenta hosting comprometida

Hola amigos,
Tengo una cuenta hosting comprometida, esta alojada en mi servidor VPS, bajo mi administración, resulta que cada cierto tiempo aparece en este sitio un archivo .php, y desde ahí se hacen envíos de spam.
Estoy buscando el lugar desde donde se cargan estos archivos, ejecute un comando linux y encontré estos archivos y carpetas con permiso 777.


Alguien, me podría decir, si los permisos de estos es normal.

Alguno de ustedes tendrá alguna otra idea de como encontrar el bug, por donde se esta cargando estos archivos.

Gracias de antemano.

Hola,

Nunca debes de dar permisos 777 a todos los directorios así a lo loco.

Los permisos para directorios son 755 y 644 para archivos.

Los permisos 777, como mucho, y digo como mucho, para algún directorio de algún plugin de wordpress o de algún plugin de cualquier CMS que de verdad lo requiera. ¡Ojito con dar permisos 777 a todos los directorios!

¿Usas algún panel de control o es un server en llano? Es decir, sin panel. ¿Tienes instalado el handler suPHP en PHP?

Como recomendación podrías intentar instalar suPHP y asignar los permisos de forma correcta. El problema es que no vas a poder usar opcode caché con suPHP.

Yo te recomiendo FastCGI y mirar el tema de los permisos.

Primero empieza por cambiar los permisos.
https://www.cyberciti.biz/faq/howto-...e-permissions/

Sigue estas recomendaciones:
https://www.spamhaus.org/news/articl...your-webserver

http://www.binarytides.com/choose-be...astcgi-suexec/

Por lo que veo, esos permisos son de cPanel propiamente y no de tu sitio. No veo nada con 777 salvo el symlink de www a public_html, que es normal que esté así.
Por ese lado, no te alarmes.

Ahora bien, asegúrate de que uses suPHP y que en las carpetas siempre tengas 755 como máximo, cosa que hasta ahora veo que has hecho bien.

Contacta con tu proveedor de Hosting para que te ayuden a ver por donde vino la intrusión al sitio. Puede haber sido por passwords débiles, o bien por vulnerabilidades en algún CMS como Wordpress, Joomla, etc, es común ver hackeos de ese tipo cuando no están 100% actualizados a nivel de core y plugins/themes.

Un saludo y buena suerte.

Hola,
Los permisos de archivos y carpetas, dentro del public_html/, los tengo asignado correctamente.
El sitio web, no tiene ningún CMS, es programación propia, OOP.
Estoy utilizando WHM para administrar el servidor.
Dentro del EasyApache3, tengo instalado este modulo.

Algún dato adicional, para asignar los permisos de forma correcta de suPHP ?.

Gracias por los links.

Hola,
Tengo los permisos en orden y tengo instalado, Mod SuPHP 0.7.2, para administrar el servidor cuento con WHM, el sitio web no tienen ningún CMS instalado.

Hay algo mas que debería verificar?.

Gracias y Saludos,

¿Cómo sabes que el SPAM lo está enviando esa cuenta de hosting en concreto y no tu servidor que esté vulnerado?

¿El desarrollo de esa web es seguro? ¿Está comprometido?

¿Y todas las contraseñas?

Hola,
Dentro de WHM, hay un reporte de envios de emails, ahí se muestra que desde esa cuenta, se enviaron mas de 10,000 envios, cuando lo normal esa cuenta envia 5o x dia.
Revise las carpetas del sitio web y ahí encontré archivos php, que realizaban el spam, los elimine de inmediato.
Con las otras cuentas alojadas en el servidor, no he tenido problemas.
El desarrollo de esa web es antigua e insegura, es por eso que se cargaron los php.
Las contraseñas ya los cambie.

Lo que busco es darle mas seguridad a nivel servidor y evitar que vuelva a suceder.
Ya le puse un tope máximo de envíos x hora.

Gracias,

¿Has probado por ejemplo a desactivar la función mail de php y usar SMTP? Esos problemas de SPAM debería de solucionarlo cualquier admin de servidores, a la vez de habilitar mayores medidas de seguridad que incluso el propio whm te da, es el "pan de cada día" esos tipos de trabajos ;)

Hola,

1. Pasa rkhunter, chkrootkit, maldet y LMD.
2. ¿Tienes el PHP securizado? ¿Que tienes puesto en las disable_functions de php?
http://blog.educacionit.com/2013/02/...es-peligrosas/
https://www.eukhost.com/blog/webhost...t-be-disabled/
3. ¿Tienes modsecurity instalado?

¿Si dices que la aplicación PHP es insegura no será mejor que tu programador revise su código antes de nada?

Sobre lo que te han comentado del SMTP: https://help.dreamhost.com/hc/en-us/...mail-via-SMTP-

¿En la aplicación de php tienes algún file upload? Lo más seguro es que desde ahí te hayan subido una webshell a /tmp o a /var/tmp

http://resources.infosecinstitute.co...ell-detection/
http://www.hackplayers.com/2011/12/d...n-neopi-y.html
https://pentestlab.blog/2012/11/29/b...-restrictions/
https://pentestlab.blog/2012/11/19/abusing-file-upload/

Ya tienes para estudiar...

Hay muchísimo más por verificar para ver por donde vino el envío, te sugiero contactar con alguna empresa de administración de servidores, o bien contactar a tu proveedor si tu servidor es manejado.

Un saludo,