Seguridad Suben archivos y envían SPAM desde disímiles instalaciones de Wordpress y Joomla

Hola amigos,

Estoy teniendo un problema con varios sitios web de mis clientes que utilizan Wordpress y Joomla. He confirmado que todos los CMS que han generado problemas están actualizados a sus últimas versiones así como sus plugins.

El asunto es que un hacker (o un bot) sube archivos en php al servidor y a través de esos archivos inmediatamente se comienza a enviar cientos y cientos de mensajes de email.

He revisado los permisos de las carpetas y están todos OK, tengo clamav y maldet corriendo en el servidor, además poseo ModSecurity con reglas personalizadas y las nuevas reglas que cPanel Inc facilitó en una de sus más recientes actualizaciones (OWASP ModSecurity Core Rule Set ). Aún así los archivos son subidos al servidor sin que niguna de esas aplicaciones de seguridad lo detecten. Incluso ya estando ahí, escaneo los directorios con Clamav y Maldet y tampoco los detectan, debo ir y eliminarlos manualmente.

Sobre esto tengo unas preguntas:

¿Conocen alguna otra aplicación de seguridad para combatir esto?
¿Alguna sugerencia para buscar en los logs cómo y desde dónde son subidos estos archivos? Yo busco en los logs de apache sobre la fecha/hora en que el archivo es cargado y no encuentro nada.

¿Alguna otra sugerencia?

PD: My handler de php es suPHP

 

Comprueba que no estes infectado: http://sitecheck.sucuri.net/

Comprueba que no uses ningún plugin vulnerable

Asegura tus cms con WPScan y Joomla Security Scan

Asegura los folders tmp de tu servidor

Instala SuPHP

 

en el cliente que pase eso:
disabled_functions = mail
en su php.ini

Es mas habitual de lo que parece tener estos inconvenientes, lo mejor sería deshabilitarlo para todos. Ten en cuenta que las contraseñas de los clientes pueden no ser seguras.

Un saludo.

 

Deshabilitar la función de forma global sería lo ideal pero imagino la cantidad de clientes que comenzarían a quejarse por eso aunque he estado leyendo que muchos proveedores que alojamiento compartido la deshabilitan. De momento deshabilité la función mail() para el cliente implicado en el problema y valoraré la posibilidad de deshabilitarla de forma global en todos los servidores.


Alguien que la tenga deshabilitada de forma global me pudiera comentar sus experiencias con los clientes?

Gracias por la ayuda.

Saludos

 

Usa mod_security con un buen conjunto de reglas actualizadas, como las de ASL Modsec Rules

 

Te recomendaría implementar Pyxosft Antimalware. Es bastante potente. Yo lo he estado usando durante meses, y la verdad, eso de que analice cada subida HTTP/FTP a tiempo real, y además pueda filtrar que no puedan subirse ficheros PHP mediante protocolo HTTP es algo que mola (y que para tu problema va que ni pintado). No es muy caro. Si mal no recuerdo, la licencia para VPS rondaba los 5$ (ojo, que lo digo de cabeza, y han podido cambiar, pero no me parece un precio precisamente alto).

Échale un vistazo en http://www.pyxsoft.com/

 

Frente a Pyxoft te recomiendo otro softwaer muy similar pero aún mejor en mi opinión, por características y precio:
http://www.configserver.com/cp/cxs.html

 

Coincido en que es buena elección también, pero este al no haberlo probado no lo recomendé jaja. Pero tengo buenas referencias.

 

En serio, pruébalo cuando tengas oportunidad. El precio es por servidor, para siempre (pago único) y de verdad que no te lo ecomendaría si no lo estuviese viendo a diario el tabajo que desempeña en mis servidores, es una joya. Entre eso y modsec duermo más tranquilo.

 

Al final la medidas en CMS que son de clientes no es solución. O bien desactiva el correo como se ha dicho o prueba un "mod" de los que han mencionado.

Yo particularmente si eso sucede en las cuentas de clientes se lo desactivo y me olvido....