
Publicado inicialmente por
alvaroag
Aparentemente, algo de lo que tienes en el alojamiento ....
Muchas gracias por tu dedicacion en responderme.
Si no me equivoco, tengo sitios web creados por mi, algun wordpress creo y dos scripts de perl que solo hacen copias de seguridad por la noche con el cron.
Muchas gracias por la informacion! Mirare en los archivos y cambiare la password!
alvaroag
18/11/2015, 11:02
Aparentemente, algo de lo que tienes en el alojamiento está intentando establecer muchas conexiones salientes, lo cual no es normal (32934 conexiones!). Que tienes instalado en el alojamiento?
Otra opción es que de alguna manera tu sitio haya sido comprometido, y le hayan instalado un proxy cgi, por ejemplo. Para eso, lo primero que recomendaría es que cambies tu contraseña, tanto del manager como del FTP. además, revisa al completo los archivos que tienes alojados, puede que encuentres algo raro. Si tienes algún CMS o equivalente(Joomla, Wordpress, etc), actualizalo a la última versión.
Hola buenos dias,
Os pediria por favor ayuda sobre un mail que me llegó de OVH y tengo poca idea de resolver el problema.
El mail es este:
##################
Abuso con su alojamiento xxxxxxxxxxxxxxxx
Estimado/a cliente:
Nos ponemos en contacto con usted en relación al dominio xxxxxxxxxxxxxxx que tiene alojado actualmente en un plan de web hosting de OVH.
Le informamos de que el estado de funcionamiento de su alojamiento cambiará a «hackeado» en un plazo de 48 horas.
Esto significa que solo podrá acceder a él por FTP.
El motivo del cambio de estado es el siguiente:
Detected as outgoing attacker by our outgoing gateways (Destination: xxx.xxx.xxx.xxxx/TCP, 32934 requests in the last 300 seconds)
##################
He mirado en los logs y con mis pocos conocimientos no he conseguido ver cual es el problema.
Me ha ocurrido ya la segunda vez. En la primera en el log "out" habia como muchas "peticiones de salida" hacia ip que referencia el mail. Todas seguidas. La ip parecia referenciar a "servidores de google". Como en algunas paginas tenia el script de google analytics, pues pense que seria ese. Bueno pues quite el javascript del index.php de una web (no mire si habia en otros .php).
Bueno pues restablecimos los permisos para permitir trafico entrante y ahora vuelve a ocurrir lo mismo.
Os pediria por favor si sois tan amables, a ver si me podeis decirme unas pautas para que yo pueda ver que ocurre. Como y que tengo que mirar en los logs.
A simple vista no he visto hilo que trate esto, si lo veis me comentais por si alli estuviera la solucion.
Muy agradecido por vuestra ayuda!