Bekijk Volledige Versie : Script geinstalleerd onder een van de shared server users - server blacklisted..
Hoi,
Een van onze gebruikers heeft een Joomla site draaien waarbij onlangs in 1 van de mappen een PHP bestandje is geplaatst met een mailscript.
Via via konden ze het scriptje starten en mails versturen, gevolg: server geblacklist.
Script is inmiddels na wat zoekwerk gevonden en verwijderd.
Heeft iemand ideeen hoe dit in de toekomst te kunnen voorkomen? Scanners, tools of wat?
Groetjes,
Gerard
Gebruik eens de zoekfunctie? Ik herinner mij hier nog een discussie van een aantal maand terug over een scriptje dat dergelijke zaken zoekt op servers...
dreamhost_nl
26/07/13, 17:32
Voor de volledigheid: Ik neem aan dat je de gebruiker per direct diens Joomla versie heeft laten updaten?
Ja, van 1.7.3 > 1.7.5 (latest low risk)
Zoekfunctie gebruikt, vind vanalles maar niet echt iets van de "lading" dekt..;)
@Dreamhost_nl: probleem is dat deze gebruiker een vacaturebank heeft welke niet wordt ondersteunt door 2.5 of 3.0..:( Is daar nog mee bezig, maar upgraden is nog geen optie.. Helaas..
Volgens mij bedoeld IT-worX dit topic -> http://www.webhostingtalk.nl/beveiliging/176198-je-webserver-server-scannen-voor-malware-geinfecteerde-bestanden.html?r=176198-je-webserver-server-scannen-voor-malware-geinfecteerde-bestanden.html#axzz2aAicuuw1
Zie ook http://www.webhostingtalk.nl/beveiliging/179398-beveiligingsmaatregelen-tegen-malware-exploits-e-d.html?r=179398-beveiligingsmaatregelen-tegen-malware-exploits-e-d.html#axzz2aAicuuw1 en http://www.webhostingtalk.nl/overige/178332-help-onze-server-verzend-spam.html?r=178332-help-onze-server-verzend-spam.html#axzz2aAicuuw1 wellicht dat je in deze topics ook nog wat tips tegenkomt.
Een aantal zaken die je m.i. kunt doen om het te "voorkomen / verbeteren":
1. PHP mail functie uitschakelen (enkel en alleen via authenticated STMP toestaan), wel erg drastisch
2. Indien je Exim gebruikt, require verify = sender toevoegen aan je config (zie ook http://www.exim.org/exim-html-current/doc/html/spec_html/ch-the_default_configuration_file.html)
3. Maldet laten draaien en scannen via een cronjob
4. PHP onder de juiste user laten draaien (mod_ruid o.i.d.)
5. TMP filesystem correct mounten
6. Aantal e-mails per gebruiker per dag limiteren
7. Indien je DA gebruikt kan dit ook handig / nuttig zijn -> http://www.directadmin.com/features.php?id=1427