Hosted Email Hacked, SQL injection forse?

2

Ho un sito Web ospitato che utilizza un servizio di hosting gratuito, questo pomeriggio ho ricevuto una email che diceva che sono stato sospeso perché il mio account è stato compromesso.

In pratica, qualcuno sta usando il mio account e-mail per inviare spam in massa. Ho cambiato tutte le password e tutto, ma quando il mio Gmail estrae le email dall'host continua a scaricare un sacco di messaggi spam che mostrano questo tipo:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  example@example
    SMTP error from remote mail server after end of data:
    host 198.91.80.251 [198.91.80.251]: 554 5.6.0 id=23634-03 - Rejected by MTA on relaying, from MTA([127.0.0.1]:10030):
    554 Error: This email address has lost rights to send email from the system

------ This is a copy of the message, including all the headers. ------

Return-path: <admin@example>
Received: from keenesystems.com ([66.135.33.211]:2370 helo=server211)
        by absolut.x10hosting.com with esmtpsa (TLSv1:RC4-MD5:128)
        (Exim 4.77)
        (envelope-from <admin@example>)
        id 1TGwSW-002hHe-Lc
        for example@example; Wed, 26 Sep 2012 13:35:44 -0500
MIME-Version: 1.0
Date: Wed, 26 Sep 2012 13:35:43 -0500
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 3.9.9 (8.5.3-6)
Subject: New staff members wanted at Auction It Online
From: admin@example
Reply-To: example@example
To: <example@example>
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
Message-ID: <OUTLOOK-IDM-9aed7054-6a3e-e1a4-1d5c-3e73377652a6@server211>

Non sono a conoscenza di come sia successo. Non sono sicuro di come qualcuno avrebbe potuto ottenere la mia password.

È una semplice installazione di wordpress, a un certo punto il mio host è andato giù di recente e c'è stata una nuova installazione di wordpress con account admin predefiniti, ho la sensazione che potrebbe essere qualcosa a che fare con questo.

La mia domanda è, anche se ho cambiato tutte le mie password, tutto sta ancora accadendo, c'è un annywhere in particolare che questo script verrà archiviato sul mio host. Non riesco davvero a gestire la sospensione del mio account di hosting e il mio account email a inviare tutto questo spam.

    
posta Timothy Ford 27.09.2012 - 01:22
fonte

1 risposta

1

L'utente malintenzionato potrebbe avere o meno la tua password di posta elettronica; questo messaggio non indica in un modo o nell'altro. Questa è una notifica di errore da parte di alcune e-mail inviate (probabilmente dal tuo sito Web) all'inizio della giornata. Dovresti aspettarti di continuare a ricevere queste notifiche per un po 'anche dopo che l'e-mail in uscita si è fermata, anche se la velocità dovrebbe rallentare significativamente nel tempo. In caso contrario, i messaggi in uscita sono ancora in corso e devi rivalutare la tua sicurezza attuale.

Per quanto riguarda l'attacco dell'attaccante, se stai eseguendo un'installazione di vecchia Wordpress, c'è stata una vulnerabilità o due in un passato non troppo lontano che potrebbe spiegare ciò. Se stai eseguendo un'installazione aggiornata, controlla i tuoi plugin e temi. La stragrande maggioranza del tempo, è un plugin o un tema che è la colpa.

Le persone tendono ad installare solo software (come Wordpress) che ha una reputazione decente, ma completamente abbassano la guardia durante l'installazione di componenti di terze parti. È molto probabile che la persona che ha scritto il tuo tema o componente non abbia idea di come scrivere software; questo potrebbe anche essere il suo primo tentativo. Eppure una vulnerabilità in un tema o in un modulo è altrettanto brutta e sfruttabile quanto quella del sistema centrale.

Devi essere estremamente cauto, in particolare con il software PHP (che ha barriere molto minori per gli sviluppatori inesperti) e installa solo il codice di cui sai di poterti fidare.

Inoltre, devi rimanere aggiornato sugli aggiornamenti. La finestra tra quando un aggiornamento per un pacchetto viene rilasciato ufficialmente fino a quando i problemi risolti vengono ampiamente sfruttati anche da hacker inesperti è solo questione di giorni.

    
risposta data 27.09.2012 - 02:07
fonte

Leggi altre domande sui tag