spam da dominio

[obras]

Salve a tutti per la mia prima volta.

Da 5 giorni circa subisco l'attacco di uno spammer che secondo il master di Severplan ha inviato 9000 mail dal mio sito (obras.vr.it) causandone cos? la messa in sospensione da parte di kilius.dnsgold.net. Siccome per lavori ospitati ? fondamentale che il sito sa online, devo assolutamente risolvere il problema.
Ho gi? bloccato tutti i moduli di contatto che usavano mail() di PHP, ma il problema persiste. Peraltro io non ho mai ricevuto nulla nella mail del dominio legata ai moduli in questione. Ho anche cancellato un paio di mail-accounts letti da PC, nel caso potesse essere un virus attaccato a un client di posta.
Ma niente, stamattina (tutti i client di posta a mia conoscenza erano spenti) c'? stata un'ulteriore sospensione a seguito credo di attacco. Non so pi? cosa fare, l'hosting mi dice di aggiornare il CMS, ma io non ne uso, le pagine dinamiche le ho scritte pesonalmente, e senza upload di file. Non so se ci sono altre porte oltre mail() che potrebbero causare una falla di sicurezza, quindi non so pi? che cercare. E ho bisogno del sito online.
Ormai sono disperato, potreste darmi una mano?

Grazie

Maurizio

[serverplan]

Salve,

ha verificato se all'interno del suo account non ? stato fatto l'upload di qualche altro script utilizzando qualche falla del suo applicativo?

[obras]

Citazione:

Originalmente inviato da serverplan

Salve,

ha verificato se all'interno del suo account non ? stato fatto l'upload di qualche altro script utilizzando qualche falla del suo applicativo?

Prima di tutto, grazie della prontezza.
Tra sabato e domenica (!) ho ripercorso contemporaneamente tutto il sito locale e il sito remoto alla ricerca di differenze nei file. Niente, stessi file e stesse date di pubblicazione. Ora non ho pi? accesso e quindi non posso verificare nulla. Forse potrei capire dalle statistiche quale file viene chiamato cos? spesso, ma dovrei poter accedere almeno al pannello di controllo. Non posso accedere in qualche modo via ftp al dominio ancorch? sospeso, vero? L'IP in mio possesso non funziona...
Grazie ancora

[serverplan]

Salve

abbiamo provveduto alla riattivazione del dominio, in modo da farLe verificare il problema.

[obras]

Ok, risolto. Grazie a tutti.

Magari pu? interessare a qualcuno sapere qual'era la backdoor che ha usato il decerebrato per l'attacco.

Le mie pagine principali fanno uso di una direttiva PHP include(), che legge un file e lo pubblica all'interno di una cornice. Grazie all'impostazione di un wrapper che permette di caricare file anche fuori dal dominio di partenza, il nostro caro amico ha usato uno dei parametri di definizione del contenuto per passare l'URL di una pagina PHP sul suo spazio (da geocities.com) che inviava la spam agli indirizzi presi da un db. Il sistema al caricare la sua direttiva fasulla attivava la sua pagina e inviava la mail che voleva facendola partire dal mio sito.

A questo punto, oltre a chiudergli la porta ho attivato una trappoletta che quando si cerca di passare alla pagina un parametro non previsto mi manda una mail con i dati del richiedente, tra cui il sito di partenza (www.geocities.com) e l'IP di provenienza. Dopo gli ultimi tentativi di attacco ieri e stamattina ho 5 bei listing di dati e l'indirizzo del suo programma PHP (evidentemente copiato) che adesso studier? per decidere che si pu? farne. Sto pensando anche a una denuncia alla polizia postale, mi sono davvero stufato di questi lamer idioti che non hanno di meglio da fare che rompere a chi con internet ci lavora.

In ogni caso grazie a tutti della collaborazione.

Maurizio