PHP hack codice base64 caricato e invio di e-mail di massa

2

cPanel server con Exim MTA e Dovecot. Alcuni hacker stanno trovando vecchi script nella directory pubblica di diversi utenti e caricano file codificati in base 64 quindi li utilizzano per inviare enormi spam.
Come posso bloccarlo sul server o sulla configurazione di Exim, senza disabilitare i normali script PHP che inviano email legittime?

Esempio di quel codice link

    
posta Linux unmastered 28.06.2015 - 12:12
fonte

2 risposte

1

Questo probabilmente significa che tu o i tuoi utenti state usando software / applicazioni obsolete. L'unico modo per impedirlo è aggiornare e applicare regolarmente patch a questo software / applicazioni a meno che l'hacker non stia utilizzando un exploit di 0 giorni al momento sconosciuto.

Provare a determinare il punto di ingresso in cui questo script viene caricato dai file di registro del server Web. Una volta trovato, informa il / i tuo / i utente / i che aggiusta il loro software / le applicazioni.

Se pensi di doverlo bloccare a livello "SMTP", penso che tu abbia torto. Quando gli hacker sono in grado di caricare ed eseguire file PHP dannosi, il server potrebbe essere (parzialmente) compromesso. Prova a determinare la causa principale invece di risolverlo da qualche altra parte.

Suggerisco di indagare su quanto del server è compromesso tramite i file di log. Nel peggiore dei casi, suggerirei di ricominciare da capo.

    
risposta data 28.06.2015 - 13:21
fonte
-1

sì è ovvio che i clienti devono aggiornare lo script e andare a colpire una talpa bassis, continuiamo a contrassegnare l'utente mentre disabilitiamo lo script ma in qualche modo qualche utente stupido ripristina il vecchio backup o qualcosa del genere e questa attività dannosa si ripete. di nuovo passiamo attraverso il processo di ricerca dello spam, quindi la ricerca dello script e il blocco dello script di nuovo messaggistica del cliente, solo per trovarlo con un altro utente dopo aver ripetuto di nuovo lo stesso processo, il che danneggia totalmente la reputazione IP mentre viene costantemente bloccata.

Sono assolutamente d'accordo sul fatto che il server debba essere sanatizzato e che gli script siano aggiornati, ma quando hai $ 1-4 dollari di hosting condiviso dove a volte persone esperte non tecnologiche o qualche bambino a scuola tenta di ospitare il suo progetto usa vecchi script e non ti .stand perché l'aggiornamento è così importante, alcune aziende non vogliono assumere un altro sviluppatore per aggiornare lo script e costantemente ci dicono di hosting per "FISSARE IL PROBLEMA DAMN, Perché il tuo server è cattivo? questo è il problema di hosting, altrimenti prenderò il mio da qualche parte, ho perso $ 2000 dollari perché hai disattivato il mio sito web, sto andando a godaddy se non lo permetti "invece di correggere lo script aggiornandolo, questo accadrà costantemente, indipendentemente da ciò che proviamo nel dire loro di mantenere gli script aggiornato.

Vorrei che ci fosse un sistema di auto-disabilitazione all'interno di drupal o wordpress stesso che si uccide da solo una volta vulnerabile. questo è il motivo per cui sto cercando di trovare un modo per farlo con Mail MTA stesso o qualche regola del firewall o csf o qualcosa del genere. ps: mi dispiace per lo sfogo.

    
risposta data 29.06.2015 - 04:32
fonte

Leggi altre domande sui tag