servidor hackeado

Bueno, pues como te comentaba seguramente fuera por un Wordpress o similar, no es un virus, simplemente te han exploiteado un bug del WP y te han colado seguramente más de un remote shell, suelen ser del tipo "0day" y te cuelan un archivo o varios que son un conjunto de utilidades, entre las cuales van incluidas, flood de puertos, ejecución de scripts, escaneo de vulnerabilidades, envío masivo de emails, etc... por lo pronto elimina esos archivos o mejor antes de eliminarlos bájatelos/renómbralos y ojealos para entender mejor que es lo que hacen, luego busca más archivos sospechosos en ese WP que fijo tienes algún script simple en php para subir archivos, importante tener al día el WP y/o sus plugins, sobre todo el tinymce que es al que más se las cuelan, activa el modo cuarentena/eliminación del maldet y programarlo en el cron para que actúe cada día o cada X horas, bueno en resumen... ponte las pilas con este tema o vas a tener estos problemas cada dos por tres, sobre todo si alojas webs del tipo Wordpress, Joomla, Foros, etc... y no los tienes controlados cada uno, sus bugs, actualizaciones, plugins, etc... y casi lo que menos te ha de preocupar es que mandes spam, que a lo más OVH te chapa el puerto 25 de la IP que lo manda, lo peor es que se pongan a hacer ataques UDP a otros servidores, con esos remote shell se puede hacer, y OVH lo que hace directamente es chaparte el servidor y si no lo solucionas incluso dejarte sin el con solo opción de sacar datos y empezar de nuevo, como puedes ver en el foro a otros que tenían su servidor descuidado ya les han cerrado directamente el mismo, cosa lógica y normal, así se evitan cosas como las de este finde, mega ataque brutal DDoS interno a toda la red de OVH que nos afectó a todos.

Te recomiendo recurrir a servicios profesionales: http://foros.ovh.es/showthread.php?6...dicados-de-OVH

A nota personal te recomendaría pasar de Plesk, es la mayor castaña de panel que existe, no por el panel en si, que es majete e intuitivo, pero tiene la peor asistencia que he visto y si quieres un panel decente y no tan caro como CPanel, mi recomendación es DirectAdmin + CSF/LFD + RKHUNTER + MALDET + CLAM + EXIM Spamblocker + SUHOSIN + Mucho Google.

Un Saludo y suerte.

Esta claro que en eso archivos PHP de wordpress te han inyectado un código PHP con un virus. Abre esos archivos y busca las líneas de código que contengan "base64_decode(churro de datos codificados);" y elimínalas.

Con eso resolverás este problema

ok, he aplicado # maldet -a /var/www/vhosts y me da 6 hits, necesito de un ojo experto que me ayude a recuperar el error, pego el reporte:

malware detect scan report for ksxxxxx.kimsufi.com:
SCAN ID: 111014-0847.19431
TIME: nov 10 11:26:39 +0100
PATH: /var/www/vhosts
TOTAL FILES: 24241
TOTAL HITS: 6
TOTAL CLEANED: 0

NOTE: quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 111014-0847.19431
FILE HIT LIST:
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-includes/js/tinymce/themes/.list88.php
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-includes/global.php
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-content/themes/divi-child/cashpage.php
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-content/themes/twentyfourteen/images/header93.php
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-content/themes/twentythirteen/images/headers/.config70.php
{HEX}php.base64.v23au.183 : /var/www/vhosts/(nombredominio).com/httpdocs/wp-content/themes/twentythirteen/languages/.inc69.php


tambien instale el rkhunter y esta noche me envio un mensaje con algunas alertas, DRWEB_DAEMON tambien me envio otro informe al correo con alerta de virus, si puedo pegar los reportes y me decis como solucionarlo, seria genial.

ya me comentais,

un abrazo.

Si mal no recuerdo, los archivos web de los usuarios en Plesk están en "/var/www/vhosts/domain.tld/" por lo tanto la línea correcta para el uso de Maldet y que escanee todos los archivos webs de los usuarios, sería esta:

El wildcard en Maldet es la interrogación "?".

No obstante maldet es posible que no detecte el script php que está enviando el spam (para determinar eso existen otros medios y/o procedimientos), aunque si es posible que detecte el script php con codificaciones base64 que han colado, seguramente por Joomla, Worpress, etc... que se usó para subir la mierda.

Un Saludo y suerte.

ok, pues me he puesto a investigar y he instalado maldet mediante putty, he escaneado segun las instrucciones que he encontrado y el reporte del /home me ha salido negativo, es decir, no detecta malware, si sabeis algunas lineas de comandos concretas para afinar mas la busqueda seria genial.

he intentado ejecutar esto: maldet -a /home/user, pero me da invalid, se que esto es de primero de servidores , pero no se si con user se refiere poner el nombre del servidor, ip, o simplemente user, he ejecutado un dir en el raiz para ver las carpetas y tengo usr, he probado y tampoco, entonces decidi hacer el escaneo en /home directamente.

ahora toca localizar ese php y examinar los dominios para revisar que esten limpios, si me ayudais en el proceso, os lo agradeceria.

un abrazo.

pues la verdad es que voy bastante perdido en esto, no tengo ni idea de como aplicar maldetect, y tampooco se donde esta el filtro de plesk, supongo que en las configuraciones de los correos.

se esta usando qmail, pero de ssh ni idea.

si me pudieseis guiar para configurarlo todo, seria de gran ayuda, como tambien configurar los correos para que envie de manera normal a los gmail y hotmail, ya que me los rechaza todos o los envia a spam.

muchas gracias por la ayuda.

un abrazo.

Aun estando de acuerdo, esto no es un problema de Plesk.

Probablemente, casi con total seguridad, tienes algun tipo de PHP al cual se conectan para mandar correos. Es sencillo encontrarlo, dependiendo del MTA que tengas.

Si no fuese por PHP, sera alguna cuenta SMTP crackeada, tambien, dependiendo del MTA que tengas, es sencillo de identificar y bloquear la cuenta o cambiarle la contraseña.

Si dices que MTA tienes (qmail o Postfix) podamos ayudarte mas, pero deberas manejarte por SSH para encontrarlo.

Saludos

Yo me desharía de Plesk y migraría las webs a otro sistema con mejor control. Para muchas webs, cPanel

Tendrías que revisar las páginas web que tengan todos los dominios y pasar alguna herramienta al servidor para confirmar que no hay basura.

Yo uso maldetect para Linux.

Con Plesk, puedes activar un filtro para poner un máximo de emails salientes en X tiempo. Además te informará de si es una cuenta o script que envía mensajes.

De los backlist se sale sin problemas. Si tienes una web contaminada, por mucho que cambies de server seguirás con los problemas.

Un saludo,

hola buenas desde hace 10 días llevo observando que me llegan miles de mails al dias con fallo de entrega de correos, de los cuales ningun correo enviado es de los dominios registrados con la misma ip, de hecho, lo envian en concreto desde un dominio del cual la pagina ha sido hackeada, cambiaron todos los enlaces redirigiendo a paginas de venta de pastillias azules, ya se han cambiado las claves y restaurado la pagina, pero no paran de llegar avisos de que no se pueden entregar correos, el caso es que la ip del servidor donde se alojan varios dominios ha entrado en blacklist y ya ninguno de los dominios puede enviar correos de manera positiva y limpia sin que entre por spam, tambien contando con el problema de que el envio hacia los gmail y hotmail directamente los rechaza, recibimos un mensaje de OVH diciendo que habia un posible ataque de hack y que actualizasemos, hemos actualizado a la version de plesk 12.0.8 pero nada ahora va a peor, en un minuto llegan 400 correos de vuelta avisando que no se puede entregar y es mas ahora el dominio afectado envia correos desde varias cuentas no existentes con el nombre de dominio, ejemplo:

dominio

www.errorejemplo.com

correo original y unico creado es:

info@errorejemplo.com

bien pues los correos se envian desde:

support@errorejemplo.com

y ahora va a mas puesto que llegan desde varios nombres de correo con el dominio:

bernardette_gross@errorejemplo.com
mariem@errorejemplo.com

etc..

sabeis de alguna solucion para limpiar esto?, o es mejor cambiar de servidor?, esta a punto de caducar y salir de una blacklist es casi imposible por lo que he leido, imaginate si la ip del servidor se encuentra en 4 blacklist...

bueno espero me podais ayudar.

un saludo y gracias por vuestro tiempo.