OVH Community, your new community space.

Servidor atacado por Phishing


tfwfactory
12/06/2014, 18:17
Pueden ser muchas cosas , entre ellas un CMS que no está actualizado o similar , puede ser un plugin no oficial que está siendo usando como vulnerabilidad , etc , depende tambien que panel de control uses , algunos tienen sus bugs

Sería bueno saber si tienes SSH securizado con el puerto cambiado , de igual forma que revises los logs para ver los accesos FTP , etc , es información que puede ser interesante , instala CSF , File2ban , etc , al igual que te comenté de ver si tu ordenador personal está infectado , ten cuidado tambien sobre los correos donde recibes las claves de acceso de OVH , etc , muchas veces hay "otra gente" accediendo a un correo y hay bots que si tienen tus claves leen periódicamente tu correo , en todo caso asegúrate primero la información y seguridad en tu propio ordenador y cuentas de email , porque primariamente muchas veces el problema viene de lo más básico y sobre todo ojo a la recepción de emails falsos de OVH que piden credenciales y que en realidad no son de OVH

Como curiosidad , las carpetas creadas de phishing , etc , no contendrán una web bancaria verdad ? , a ver si me puedes facilitar esa información

Es que curiosamente hemos visto que lo mismo que te ha ocurrido a ti le ha pasado a otras personas con VPS , concretamente hemos tenido varios casos y todos con estos servidores , nunca con las medidas de seguridad que hemos adptado , jamás hemos tenido un caso de intrusión para Phishing pero con las mismas medidas de seguridad que son altas , se ha dado en varios VPS

Me parece cuando menos curioso , pero por contarte un caso en particular , despues de revisar ese VPS y tomar y retomar todas las medidas , incluso desinstalar dos wordpress y dejar todo liso y llano , nos encontramos con que seguía sucediendo este problema , revisamos logs y no habia nada , incluso cambiamos todas las claves de SSH , eliminamos todos los usuarios FTP , dejando solo uno con una clave encriptada muy larga y dificil de averiguar , y volvió a suceder lo mismo

Sigue siedo un misterio aquel caso y tuvimos que reinstalarlo todo , lo único que despues pasado tiempo se nos ocurrió el tema de las SSH Keys que por defecto vienen a veces instaladas en el servidor por parte de OVH , por pensar algo a mayores o que se crease alguna SSH Key desde el manager que diese acceso directo a SSH

Despues de reinstalar no se volvieron a producir problemas hasta la fecha y ya fue hace bastante tiempo

Te recomendaría por tanto verificar todo esto , dejar 24 horas aisladas las carpetas de las webs , cámbiales el nombre y mira a ver si se reproduce , el tema , cámbialo todo y revisa logs , asegúrate que solo tu tienes acceso al server , etc


Saludos y espero que te sirva de ayuda

ssergio_ll
11/06/2014, 22:46
Pues entre los CMS están Joomla y Prestashop sobre todo. La cosa es que no los ficheros de los CMS están intactos, y lo que hace es que me crean carpetas en los dominios dónde están los ficheros del phising, e incluso aparecen en dominios dónde las Web son puro HTML, sin nada dinámico.

Mi ordenador dudo que tenga virus, pues uso Ubuntu Linux 14.04 pero lo revisaré para descartar esa opción.

¿Se te ocurre alguna manera de proteger el servidor para que no ocurra?

Muchas gracias!!

tfwfactory
11/06/2014, 21:17
Que CMS usas , por otro lado piensa que muchas veces la infección de muchas webs viene por un virus en tu propio equipo que lee los accesos a FTP y luego corrompe las webs principalmente los index , revisa tu equipo tambien


Saludos

ssergio_ll
11/06/2014, 19:30
Hola a todos.

Tengo un problema a ver si me pueden ayudar. Tengo un VPS el cual están atacando continuamente con phishing. Me estoy encontrado en múltiples dominios script de phising y no paro de borrarlos y cambiar las contraseñas de acceso FTP.

He estado viendo en Internet que dicen que se pueden colocar por CMS no actualizados, así que los he actualizado todos, pero aún así siguen apareciendo, incluso aparen en páginas de contenido estático.

Los permisos de las carpetas los tengo a 755 y ficheros 644, pero nada, no hay forma.

¿Alguien sabe de alguna manera que pueda solventar esto?

Muchas gracias.
Un saludo.