Foros del Web » Administración de Sistemas » Shared Hosting y VPS »

Cuenta hosting comprometida

Estas en el tema de Cuenta hosting comprometida en el foro de Shared Hosting y VPS en Foros del Web. Hola amigos, Tengo una cuenta hosting comprometida, esta alojada en mi servidor VPS, bajo mi administración, resulta que cada cierto tiempo aparece en este sitio ...
  #1 (permalink)  
Antiguo 24/01/2017, 09:18
 
Fecha de Ingreso: julio-2007
Mensajes: 109
Antigüedad: 17 años, 5 meses
Puntos: 1
Cuenta hosting comprometida

Hola amigos,
Tengo una cuenta hosting comprometida, esta alojada en mi servidor VPS, bajo mi administración, resulta que cada cierto tiempo aparece en este sitio un archivo .php, y desde ahí se hacen envíos de spam.
Estoy buscando el lugar desde donde se cargan estos archivos, ejecute un comando linux y encontré estos archivos y carpetas con permiso 777.

Código BASH:
Ver original
  1. find /home/misitioweb -perm 777 -print
  2.  
  3. /home/misitioweb/.cphorde/meta/latest
  4. /home/misitioweb/mail/.info@misitioweb_com
  5. /home/misitioweb/mail/.email1@misitioweb_com
  6. /home/misitioweb/mail/.email2@misitioweb_com
  7. /home/misitioweb/mail/.email3@misitioweb_com
  8. /home/misitioweb/mail/.email4@misitioweb_com
  9. /home/misitioweb/access-logs
  10. /home/misitioweb/www
  11. /home/misitioweb/var/cpanel/styled/current_style
  12. /home/misitioweb/public_ftp/incoming

Alguien, me podría decir, si los permisos de estos es normal.

Alguno de ustedes tendrá alguna otra idea de como encontrar el bug, por donde se esta cargando estos archivos.

Gracias de antemano.
  #2 (permalink)  
Antiguo 24/01/2017, 15:18
(Desactivado)
 
Fecha de Ingreso: julio-2008
Ubicación: Muchas noches sin dormir
Mensajes: 211
Antigüedad: 16 años, 5 meses
Puntos: 7
Respuesta: Cuenta hosting comprometida

Hola,

Nunca debes de dar permisos 777 a todos los directorios así a lo loco.

Los permisos para directorios son 755 y 644 para archivos.

Los permisos 777, como mucho, y digo como mucho, para algún directorio de algún plugin de wordpress o de algún plugin de cualquier CMS que de verdad lo requiera. ¡Ojito con dar permisos 777 a todos los directorios!

¿Usas algún panel de control o es un server en llano? Es decir, sin panel. ¿Tienes instalado el handler suPHP en PHP?

Como recomendación podrías intentar instalar suPHP y asignar los permisos de forma correcta. El problema es que no vas a poder usar opcode caché con suPHP.

Yo te recomiendo FastCGI y mirar el tema de los permisos.

Primero empieza por cambiar los permisos.
https://www.cyberciti.biz/faq/howto-...e-permissions/

Sigue estas recomendaciones:
https://www.spamhaus.org/news/articl...your-webserver

http://www.binarytides.com/choose-be...astcgi-suexec/

Última edición por fvillalba; 24/01/2017 a las 15:58
  #3 (permalink)  
Antiguo 25/01/2017, 09:54
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Respuesta: Cuenta hosting comprometida

Cita:
Iniciado por TheM4ster Ver Mensaje
Hola amigos,
Tengo una cuenta hosting comprometida, esta alojada en mi servidor VPS, bajo mi administración, resulta que cada cierto tiempo aparece en este sitio un archivo .php, y desde ahí se hacen envíos de spam.
Estoy buscando el lugar desde donde se cargan estos archivos, ejecute un comando linux y encontré estos archivos y carpetas con permiso 777.

Código BASH:
Ver original
  1. find /home/misitioweb -perm 777 -print
  2.  
  3. /home/misitioweb/.cphorde/meta/latest
  4. /home/misitioweb/mail/.info@misitioweb_com
  5. /home/misitioweb/mail/.email1@misitioweb_com
  6. /home/misitioweb/mail/.email2@misitioweb_com
  7. /home/misitioweb/mail/.email3@misitioweb_com
  8. /home/misitioweb/mail/.email4@misitioweb_com
  9. /home/misitioweb/access-logs
  10. /home/misitioweb/www
  11. /home/misitioweb/var/cpanel/styled/current_style
  12. /home/misitioweb/public_ftp/incoming

Alguien, me podría decir, si los permisos de estos es normal.

Alguno de ustedes tendrá alguna otra idea de como encontrar el bug, por donde se esta cargando estos archivos.

Gracias de antemano.
Por lo que veo, esos permisos son de cPanel propiamente y no de tu sitio. No veo nada con 777 salvo el symlink de www a public_html, que es normal que esté así.
Por ese lado, no te alarmes.

Ahora bien, asegúrate de que uses suPHP y que en las carpetas siempre tengas 755 como máximo, cosa que hasta ahora veo que has hecho bien.

Contacta con tu proveedor de Hosting para que te ayuden a ver por donde vino la intrusión al sitio. Puede haber sido por passwords débiles, o bien por vulnerabilidades en algún CMS como Wordpress, Joomla, etc, es común ver hackeos de ese tipo cuando no están 100% actualizados a nivel de core y plugins/themes.

Un saludo y buena suerte.
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #4 (permalink)  
Antiguo 26/01/2017, 11:26
 
Fecha de Ingreso: julio-2007
Mensajes: 109
Antigüedad: 17 años, 5 meses
Puntos: 1
Respuesta: Cuenta hosting comprometida

Cita:
Iniciado por fvillalba Ver Mensaje
Hola,

Nunca debes de dar permisos 777 a todos los directorios así a lo loco.

Los permisos para directorios son 755 y 644 para archivos.

Los permisos 777, como mucho, y digo como mucho, para algún directorio de algún plugin de wordpress o de algún plugin de cualquier CMS que de verdad lo requiera. ¡Ojito con dar permisos 777 a todos los directorios!

¿Usas algún panel de control o es un server en llano? Es decir, sin panel. ¿Tienes instalado el handler suPHP en PHP?

Como recomendación podrías intentar instalar suPHP y asignar los permisos de forma correcta. El problema es que no vas a poder usar opcode caché con suPHP.

Yo te recomiendo FastCGI y mirar el tema de los permisos.

Primero empieza por cambiar los permisos.
https://www.cyberciti.biz/faq/howto-...e-permissions/

Sigue estas recomendaciones:
https://www.spamhaus.org/news/articl...your-webserver

http://www.binarytides.com/choose-be...astcgi-suexec/

Hola,
Los permisos de archivos y carpetas, dentro del public_html/, los tengo asignado correctamente.
El sitio web, no tiene ningún CMS, es programación propia, OOP.
Estoy utilizando WHM para administrar el servidor.
Dentro del EasyApache3, tengo instalado este modulo.

Algún dato adicional, para asignar los permisos de forma correcta de suPHP ?.

Gracias por los links.
  #5 (permalink)  
Antiguo 26/01/2017, 11:40
 
Fecha de Ingreso: julio-2007
Mensajes: 109
Antigüedad: 17 años, 5 meses
Puntos: 1
Respuesta: Cuenta hosting comprometida

Cita:
Iniciado por WebTech Ver Mensaje
Por lo que veo, esos permisos son de cPanel propiamente y no de tu sitio. No veo nada con 777 salvo el symlink de www a public_html, que es normal que esté así.
Por ese lado, no te alarmes.

Ahora bien, asegúrate de que uses suPHP y que en las carpetas siempre tengas 755 como máximo, cosa que hasta ahora veo que has hecho bien.

Contacta con tu proveedor de Hosting para que te ayuden a ver por donde vino la intrusión al sitio. Puede haber sido por passwords débiles, o bien por vulnerabilidades en algún CMS como Wordpress, Joomla, etc, es común ver hackeos de ese tipo cuando no están 100% actualizados a nivel de core y plugins/themes.

Un saludo y buena suerte.
Hola,
Tengo los permisos en orden y tengo instalado, Mod SuPHP 0.7.2, para administrar el servidor cuento con WHM, el sitio web no tienen ningún CMS instalado.

Hay algo mas que debería verificar?.

Gracias y Saludos,
  #6 (permalink)  
Antiguo 26/01/2017, 11:45
Avatar de franciscomarin  
Fecha de Ingreso: junio-2009
Ubicación: Terrassa, BCN, CAT
Mensajes: 2.414
Antigüedad: 15 años, 5 meses
Puntos: 327
Respuesta: Cuenta hosting comprometida

¿Cómo sabes que el SPAM lo está enviando esa cuenta de hosting en concreto y no tu servidor que esté vulnerado?

¿El desarrollo de esa web es seguro? ¿Está comprometido?

¿Y todas las contraseñas?
  #7 (permalink)  
Antiguo 26/01/2017, 12:01
 
Fecha de Ingreso: julio-2007
Mensajes: 109
Antigüedad: 17 años, 5 meses
Puntos: 1
Respuesta: Cuenta hosting comprometida

Cita:
Iniciado por franciscomarin Ver Mensaje
¿Cómo sabes que el SPAM lo está enviando esa cuenta de hosting en concreto y no tu servidor que esté vulnerado?

¿El desarrollo de esa web es seguro? ¿Está comprometido?

¿Y todas las contraseñas?
Hola,
Dentro de WHM, hay un reporte de envios de emails, ahí se muestra que desde esa cuenta, se enviaron mas de 10,000 envios, cuando lo normal esa cuenta envia 5o x dia.
Revise las carpetas del sitio web y ahí encontré archivos php, que realizaban el spam, los elimine de inmediato.
Con las otras cuentas alojadas en el servidor, no he tenido problemas.
El desarrollo de esa web es antigua e insegura, es por eso que se cargaron los php.
Las contraseñas ya los cambie.

Lo que busco es darle mas seguridad a nivel servidor y evitar que vuelva a suceder.
Ya le puse un tope máximo de envíos x hora.

Gracias,
  #8 (permalink)  
Antiguo 26/01/2017, 18:48
Avatar de CoriaWeb  
Fecha de Ingreso: septiembre-2012
Ubicación: Coria del Río - Sevilla
Mensajes: 1.795
Antigüedad: 12 años, 3 meses
Puntos: 130
Respuesta: Cuenta hosting comprometida

¿Has probado por ejemplo a desactivar la función mail de php y usar SMTP? Esos problemas de SPAM debería de solucionarlo cualquier admin de servidores, a la vez de habilitar mayores medidas de seguridad que incluso el propio whm te da, es el "pan de cada día" esos tipos de trabajos ;)
__________________
Hosting de Calidad
Servidores Dedicados Administrados
CoriaWeb.hosting
  #9 (permalink)  
Antiguo 27/01/2017, 21:14
(Desactivado)
 
Fecha de Ingreso: julio-2008
Ubicación: Muchas noches sin dormir
Mensajes: 211
Antigüedad: 16 años, 5 meses
Puntos: 7
Respuesta: Cuenta hosting comprometida

Hola,

1. Pasa rkhunter, chkrootkit, maldet y LMD.
2. ¿Tienes el PHP securizado? ¿Que tienes puesto en las disable_functions de php?
http://blog.educacionit.com/2013/02/...es-peligrosas/
https://www.eukhost.com/blog/webhost...t-be-disabled/
3. ¿Tienes modsecurity instalado?

¿Si dices que la aplicación PHP es insegura no será mejor que tu programador revise su código antes de nada?

Sobre lo que te han comentado del SMTP: https://help.dreamhost.com/hc/en-us/...mail-via-SMTP-

¿En la aplicación de php tienes algún file upload? Lo más seguro es que desde ahí te hayan subido una webshell a /tmp o a /var/tmp

http://resources.infosecinstitute.co...ell-detection/
http://www.hackplayers.com/2011/12/d...n-neopi-y.html
https://pentestlab.blog/2012/11/29/b...-restrictions/
https://pentestlab.blog/2012/11/19/abusing-file-upload/

Ya tienes para estudiar...

Última edición por fvillalba; 27/01/2017 a las 21:52
  #10 (permalink)  
Antiguo 01/02/2017, 08:08
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 2 meses
Puntos: 162
Respuesta: Cuenta hosting comprometida

Cita:
Iniciado por TheM4ster Ver Mensaje
Hola,
Tengo los permisos en orden y tengo instalado, Mod SuPHP 0.7.2, para administrar el servidor cuento con WHM, el sitio web no tienen ningún CMS instalado.

Hay algo mas que debería verificar?.

Gracias y Saludos,
Hay muchísimo más por verificar para ver por donde vino el envío, te sugiero contactar con alguna empresa de administración de servidores, o bien contactar a tu proveedor si tu servidor es manejado.

Un saludo,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Etiquetas: 777, bug, linux, vps
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:11.