Joomla, WHM y SPAM, como detecto el script vulnerable?

Hola, un cliente mio tiene muchos problemas con un sitio hecho en joomla 1.0.12 (si!, 1.0.12), el problema es que el cliente no quiere actualizar el sistema Joomla, pero este sistema evidentemente tiene un script vulnerable, puesto que de este dominio surge una cantidad impresionante de SPAM.

Como puedo hacer para saber cual script es el usado para el SPAM a través del WHM?

Gracias!

 

Si un cliente se niega a actualizar una aplicación vulnerable, por respeto a los demás clientes, deberías darlo de baja.

 

Joomla

Razor7, el primer paso será actualizar a la última versión de Joomla 1.0.15 "Daytime". - No veo porque tu cliente no quiera actualizar a esta versión....no tendrá impacto con su sitio web.

Para identificar los scripts que envían mensajes puedes utilizar el siguiente comando:

CODE, HTML o PHP Insertado:

grep cwd=/home/ /var/log/exim_mainlog| cut -d' ' -f4 | sort | uniq -c | sort -n

Salu2

 

gracias frankm!

Ejecuto el comando por consola pero no me devuelve resultados... esta bien eso?, por que en mi WHM tengo casi todos los clientes con sitios con joomla...

 

Spam

Hola Razor7, entonces prueba con esta variante:

CODE, HTML o PHP Insertado:

grep cwd=\/home\/ /var/log/exim_mainlog| cut -d' ' -f3 | sort | uniq -c | sort -n

Salu2

 

Hola Frankm, no, se ejecuta pero luego aparece el prompt nuevamente sin resultados...

 

Con respecto a los Scripts puedes verificar mediante consola los procesos que cada usuario esta ejecutando, esto te puede ayudar enormemente para detectar cual es el script que te esta haciendo spam.

Primero detecta el numero de procesos que cada usuario esta ejecutando. Aquí puedes detectar a tu usuario y el numero de procesos.

CODE, HTML o PHP Insertado:

ps hax -o user | sort | uniq -c

Después creas una función sencilla para obtener una lista en forma de árbol/procesos (muy detallada) de todos los procesos que cada usuario esta realizando en tu maquina.

Función:

CODE, HTML o PHP Insertado:

psu(){ command ps -Hcl -F S f -u ${1:-$USER}; }

Después de Creada la función (La cual no te debe arrojar ningún resultado) puedes consular los procesos de cada usuario; en este caso el de root.

CODE, HTML o PHP Insertado:

psu root

Ahora puedes ver detalladamente los procesos de cada usuario y de esta manera tomar medidas al respecto.

Adicionalmente cambia la clave a tu usuario o en lo posible lo migras a otro server para poder eliminar todo lo que el script te pudo hacer en tu servidor ya que muchas veces pueden crear backdoors en donde se conectan mediante FTP (Inverso en modo cliente) y así hayas borrado el archivo o el script este nuevamente se vuelve a descargar y a ejecutar.

Verifica constantemente las conexiones de tu servidor especialmente con protocolos FTP y HTTP. Lógicamente monitorea mediante consola todo lo que tu usuario haga.

Con respecto a tu cliente, lo mejor seria entregarle un acompañamiento muy profesional al respecto para que ambos tomen la mejor solución. Lo mas obvio es que el cliente le de temor de actualizar debido a que su sitio no se vea igual que antes o tenga fallas; en este caso puedes crear un sitio paralelo de pruebas y realizar la actualización para que el cliente tenga la garantía de que su actualización no va generar ningún problema.

Esta es una simple opinión de las soluciones que puedes implementar a tu problema, cualquiera que te funcione seria muy interesante la compartieras.

Nota: Los comandos me funcionan 100% en Linux CentOS

Saludos y Feliz Ano 2011.

 

----------------------------

Hola jcvelasquez

En ocaciones me pongo a leer los post y me resulto interesante tu publicacion. He probado el primer comando ps hax -o user | sort | uniq -c y vaya que es impresionante lo que te puede mostrar.
Es bueno aclarar que lo poco que se, ha sido por medio de foros, y no me queda claro lo siguiente, crear la funcion: psu(){ command ps -Hcl -F S f -u ${1:-$USER}; } Esto quiere decir, crear un script o solo ejecutarlo en la terminal ?


razor7 : Seria bueno que le saques una copia (Full Backup) al sitio en Joomla
y a su BD. Despues lo montas en otro sitio o pude ser en de tu mismo cliente, pero sobre una carpeta que se llame /demo (Por Ejemplo)
Entonces quedaria de la siguiente manera
www . sitiodetucliente.com (sitio web de Joomla)
www . sitiodetucliente.com/demo (Aqui tu puedes actualizar la version de joomla al igual que los scripts y cuando todo funcione muy bien se lo muestras)
Asi es como le hago con mis clientes, trabajar en paralelo con su sitio
Espero puedas compartir tus resultados.

Saludos

 

Solo debes escribir el comando en tu terminal el cual no te debe arrojar ningun resultado lo que vas a crear es una especie de variable (posiblemente lo sea) y ejecutarla después para realizar las consultas.

CODE, HTML o PHP Insertado:

psu(){ command ps -Hcl -F S f -u ${1:-$USER}; }

Despues de ejecutar el comando anterior puedes realizar las consultas con cada uno de tus usuarios.

Ejemplo para el usuario roor

CODE, HTML o PHP Insertado:

psu root

Muchos saludos y ojala se haya solucionado tu problema.

 

Si un cliente se encabezona en que no quiere que le actualices su sitio y sabes que hay una puerta abierta para crackers lo más normal es que se actualice. Y ahora pregunto yo, si en caso de que no quiera el cliente se lo actualiza el hostmaster del servidor sin su consentimiento por cabezonería sería ético? O lo mejor es darlo de baja y decirle adiós y decirle que haber si le aguantan su joomla en otro proveedor? No es mejor explicarle el problema de raíz?

Saludos,