PDA

Bekijk Volledige Versie : Script geinstalleerd onder een van de shared server users - server blacklisted..


Cloudy
26/07/13, 17:13
Hoi,

Een van onze gebruikers heeft een Joomla site draaien waarbij onlangs in 1 van de mappen een PHP bestandje is geplaatst met een mailscript.

Via via konden ze het scriptje starten en mails versturen, gevolg: server geblacklist.

Script is inmiddels na wat zoekwerk gevonden en verwijderd.

Heeft iemand ideeen hoe dit in de toekomst te kunnen voorkomen? Scanners, tools of wat?

Groetjes,
Gerard
IT-worX
26/07/13, 17:24
Gebruik eens de zoekfunctie? Ik herinner mij hier nog een discussie van een aantal maand terug over een scriptje dat dergelijke zaken zoekt op servers...
dreamhost_nl
26/07/13, 17:32
Voor de volledigheid: Ik neem aan dat je de gebruiker per direct diens Joomla versie heeft laten updaten?
Cloudy
26/07/13, 17:40
Ja, van 1.7.3 > 1.7.5 (latest low risk)
Cloudy
26/07/13, 17:42
Zoekfunctie gebruikt, vind vanalles maar niet echt iets van de "lading" dekt..;)

@Dreamhost_nl: probleem is dat deze gebruiker een vacaturebank heeft welke niet wordt ondersteunt door 2.5 of 3.0..:( Is daar nog mee bezig, maar upgraden is nog geen optie.. Helaas..
Boyke
26/07/13, 19:11
Volgens mij bedoeld IT-worX dit topic -> http://www.webhostingtalk.nl/beveiliging/176198-je-webserver-server-scannen-voor-malware-geinfecteerde-bestanden.html?r=176198-je-webserver-server-scannen-voor-malware-geinfecteerde-bestanden.html#axzz2aAicuuw1

Zie ook http://www.webhostingtalk.nl/beveiliging/179398-beveiligingsmaatregelen-tegen-malware-exploits-e-d.html?r=179398-beveiligingsmaatregelen-tegen-malware-exploits-e-d.html#axzz2aAicuuw1 en http://www.webhostingtalk.nl/overige/178332-help-onze-server-verzend-spam.html?r=178332-help-onze-server-verzend-spam.html#axzz2aAicuuw1 wellicht dat je in deze topics ook nog wat tips tegenkomt.

Een aantal zaken die je m.i. kunt doen om het te "voorkomen / verbeteren":

1. PHP mail functie uitschakelen (enkel en alleen via authenticated STMP toestaan), wel erg drastisch
2. Indien je Exim gebruikt, require verify = sender toevoegen aan je config (zie ook http://www.exim.org/exim-html-current/doc/html/spec_html/ch-the_default_configuration_file.html)
3. Maldet laten draaien en scannen via een cronjob
4. PHP onder de juiste user laten draaien (mod_ruid o.i.d.)
5. TMP filesystem correct mounten
6. Aantal e-mails per gebruiker per dag limiteren
7. Indien je DA gebruikt kan dit ook handig / nuttig zijn -> http://www.directadmin.com/features.php?id=1427