• Resolvido lordmarcio

    (@lordmarcio)


    Gente, meu site acas.com.br foi bloqueado!!
    Foi invadido via e-mail (congestionou o servidor com mais de 10mil msgs), foi isso que entendi.

    Eu não imaginaria q isso poderia acontecer, ser bloqueado por isso.
    Alguém me explica o que devo fazer!!!!

    O detalhes o host mandou e postei neste link:

    http://pastebin.com/995pNwkZ

    Já tô baixando o que pediram.

    Abraços

Visualizando 11 respostas - 1 até 11 (de um total de 11)
  • Moderador Míriam de Paula

    (@miriamdepaula)

    Siga as instruções do seu host.

    Baixe o backup, restaure… troque todas as senhas (wordpress, mysql, ftp, etc) ….

    Se sua instalação WordPress ainda usa o usuário “admin” como administrador, crie um outro administrador, com outro nome de usuário e apague esse “admin” ….

    Abs.
    Miriam de Paula
    http://wpmidia.com.br

    Criador do tópico lordmarcio

    (@lordmarcio)

    blz!
    vou fazer isso urgente!! = )

    Eu queria entender o que houve… Aonde esse invasor atacou!!

    *Segue abaixo conteúdo na íntegra de uma das 10 mil mensagens:

    http://pastebin.com/ByNm4Upn

    Alguém pode me dizer onde vou achar os scripts maliciosos!?

    Abraços

    Criador do tópico lordmarcio

    (@lordmarcio)

    Alguém me auda, só tenho 72 horas pra resolver. senão a host vai me excluir minha conta! vou perder todos os meses pagos =/

    wagnerlandio

    (@wagnerlandio)

    Seu caso esta mais para um ataque Denial of Service (DoS)
    É uma forma de abuso de rede onde se envia uma quantidade enorme de e-mails para um endereço em uma tentativa de sobrecarregar a caixa de correio eletrônico ou o servidor do correio eletrônico, o que é chamado de ataque denial-of-service.

    Exemplos de alguns programas:
    111

    222

    Com eles é possivel enviar varios email igual, são sei como se proteger, mesmo eles indo para caixa de spam, mesmo assim ainda ira encher o trafego de dados e prejudicar os outros clientes que usam a mesma hospedagem que voce. (Este o motivo de te bloquearem)

    Não sei se essas informaçoes poderam ajudar você mas vou tentar.

    Primeiro se voce usa Cpanel na hospedagem comece apagando todo diretorio do site (Normalmente é public_html ou www), pastas que voce criou, email…

    Depois entre em contacto com sua hospedagem, Fale que seus arquivos ja foram removido e espere para ver o que elas tem a dizer.

    Queria poder te ajudar, acho que essas informaçoes são uteis.

    Quando for instalar o noov site comece criando uma conta no googel apps, e receba seus email usando o gmail…

    Criador do tópico lordmarcio

    (@lordmarcio)

    O site apagou minha conta, me mandou um backup de tudo e pediu pra eu resolver (limpar o script maldoso).

    – Como eles conseguiram a senha de e-mail pra entrar no e-mail???

    – Existe mesmo um script dentro do meu site? Ou eles fizeram de forma externa??

    – E como assim criar uma conta no google apps, recebendo e-mail pelo gmail q vantagem tem??

    abraços e mto obrigado “Wagnerlandio”

    wagnerlandio

    (@wagnerlandio)

    Vou passar uns procedimentos que aconteceu comigo…
    Uso o windows 7, teve um tempo que o arquivo de host (C:\WINDOWS\system32\drivers\etc\) foi infectato com um exploit (Zief.pl), todos os arquivos php e html no meu computador eram inseridos automaticamente um condigo. Como eu fazia upload de alguns arquivos para a minha hospedagem, logo meu site tinha esses codigos tambem. fiz o backup e escaneei o mesmo (Escannei tambem o computador que você usa para fazer uploads para seu site) com o microsoft internet security, o MIS removeu o codigo de todas as paginas, fiz o upload devolta para a hospedagem e ate hoje integrei o site ao Google Webmaster Tools, é uma ferrametna essencial pois ele informa todos os erros contidos no site, como codigos maliciosos, links quebrados…

    Como eles conseguiram a senha de e-mail pra entrar no e-mail???
    Na minha teoria, se estiver algum codigo no site, eles nao precisao da senha ou email, é feito de forma automatica. (No meu caso ninguem colocou o codigo malicioso nas minhas paginas, um exploit fez isso altomaticamente)

    Existe mesmo um script dentro do meu site? Ou eles fizeram de forma externa
    Como eu disse, faz um scan. Se for encontrado algum codigo foi feito por esse codigo, caso nao ache nada, entao deve-se pensar na possibilidade de ter sido por forma externa, como os programas que eu siitei acima (Emailbomber)…

    E como assim criar uma conta no google apps, recebendo e-mail pelo gmail q vantagem tem??
    Google Apps oferece segurança nos seus emails e ele é gratis.

    wagnerlandio

    (@wagnerlandio)

    No seu site, vocêe usa formulario de contato?

    Criador do tópico lordmarcio

    (@lordmarcio)

    uso formulário de contato sim!
    POrque???

    Eu vi o Google Apps e é pago irmão =/

    Pow valeu mesmo pelas dicas!

    abraços
    vou tratar de tudo!!

    wagnerlandio

    (@wagnerlandio)

    O google apps so é pago caso voce ultilize mais de 10 contas de email ou 10 contas de usuarios. Eu ja uso gratis a quase um ano com 3 emails…
    Segue o link – http://www.google.com/apps/intl/pt-BR/group/index.html

    Sobre o formularios de contato é que caso você use o phpmailer no formulario ja ouvir falar de Mail Injection no PHP.

    Depois pesquisa no google sobre:
    O que é Mail Injection em PHP
    ou
    Evitando Mail Injection em PHP

    Pode ter sido isso seu caso…

    Abraços…Qualquer coisas estamos aqui para ajudar

    Criador do tópico lordmarcio

    (@lordmarcio)

    Bem, o que não entendi foi o seguinte Wagnerlandio:

    Eu vou usar o GooApps pra que? Pra todos os e-mails que o site vai usar??
    Tem muitos e-mails irmão, q eu eu faço??

    Um webmaster me disse que a invação foi por meio do tema que uso, e pelo script TimThumb… Aí fui ver no página do tema, e tem uma atualização que não havia feito: “Added : An option to disable TimThumb script for cropping images (added under “General Options”)”… Fora outra atualização de segurança.

    Bem, acho que é isso!
    *mas me responde aí sobre o GoogleApps Wagnerlandio

    abraços

    O timthumb é porta de entrada para vários malwares, isso já é antigo, qualquer tema que use isso está sujeito a injeçoes de links e scripts.

    Talvez um script tenha usado o socket do seu servidor para enviar spam, o que causou o DoS em si mesmo, ou usou algum programa de envio de mala direta?! Este último é comum as pessoas usarem, terem o serviço banido etc

Visualizando 11 respostas - 1 até 11 (de um total de 11)
  • O tópico ‘Meu site foi bloqueado, mas não entendi nada…’ está fechado para novas respostas.