Correo electrónico hospedado hackeado, ¿inyección de SQL tal vez?

Navega tus respuestas
2

Tengo un sitio web alojado que utiliza un servicio de alojamiento gratuito. Esta tarde recibí un correo electrónico que decía que me habían suspendido porque mi cuenta estaba comprometida.

Básicamente, alguien está usando mi cuenta de correo electrónico para enviar spam de forma masiva. He cambiado todas las contraseñas y todo, pero cuando mi Gmail extrae los correos electrónicos del host, sigue descargando muchos mensajes de spam que se muestran así: 

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  example@example
    SMTP error from remote mail server after end of data:
    host 198.91.80.251 [198.91.80.251]: 554 5.6.0 id=23634-03 - Rejected by MTA on relaying, from MTA([127.0.0.1]:10030):
    554 Error: This email address has lost rights to send email from the system

------ This is a copy of the message, including all the headers. ------

Return-path: <admin@example>
Received: from keenesystems.com ([66.135.33.211]:2370 helo=server211)
        by absolut.x10hosting.com with esmtpsa (TLSv1:RC4-MD5:128)
        (Exim 4.77)
        (envelope-from <admin@example>)
        id 1TGwSW-002hHe-Lc
        for example@example; Wed, 26 Sep 2012 13:35:44 -0500
MIME-Version: 1.0
Date: Wed, 26 Sep 2012 13:35:43 -0500
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 3.9.9 (8.5.3-6)
Subject: New staff members wanted at Auction It Online
From: admin@example
Reply-To: example@example
To: <example@example>
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
Message-ID: <OUTLOOK-IDM-9aed7054-6a3e-e1a4-1d5c-3e73377652a6@server211>

No estoy enterado de cómo ha sucedido esto. No estoy seguro de cómo alguien pudo haber conseguido mi contraseña.

Es una simple instalación de wordpress, en algún momento recientemente mi host se cayó y hubo una nueva instalación de wordpress con cuentas de administrador predeterminadas, tengo la sensación de que podría tener algo que ver con esto.

Mi pregunta es que, aunque haya cambiado todas mis contraseñas, todo sigue ocurriendo. ¿Hay algún lugar en particular en donde este script se almacene en mi host? Realmente no puedo lidiar con la suspensión de mi cuenta de alojamiento y mi cuenta de correo electrónico que envía todo este spam.

    
pregunta Timothy Ford 27.09.2012 - 01:22
fuente

1 respuesta

1

El atacante puede o no tener su contraseña de correo electrónico; este mensaje no indica una forma u otra. Este es un aviso de error de un correo electrónico enviado (posiblemente por su sitio web) más temprano en el día. Debería esperar continuar recibiendo estos avisos por un tiempo, incluso después de que se detenga el correo electrónico saliente, aunque la tasa debería disminuir significativamente con el tiempo. Si no es así, entonces los mensajes salientes siguen saliendo y debe volver a evaluar su seguridad actual.

En cuanto a cómo entró el atacante, si está ejecutando una instalación de Wordpress old , ha habido una vulnerabilidad o dos en un pasado no muy lejano que podría explicar esto. Si está ejecutando una instalación actualizada, verifique sus complementos y temas. La gran mayoría de las veces, es un complemento o tema que tiene la culpa.

Las personas tienden a instalar solo software (como Wordpress) que tiene una reputación decente, pero dejan de lado la protección cuando instalan componentes de terceros. Es muy posible que la persona que escribió su tema o componente no tenga idea de cómo escribir software; Este podría incluso ser su primer intento. Y, sin embargo, una vulnerabilidad en un tema o un módulo es tan mala y tan explotable como una en el sistema central.

Debe ser extremadamente cauteloso, especialmente con el software PHP (que tiene barreras de entrada mucho más bajas para los desarrolladores sin experiencia), e instalar solo el código en el que sabe que puede confiar.

Además, tienes que estar al tanto de las actualizaciones. La ventana entre el momento en que se publica oficialmente una actualización para un paquete hasta que los hackers inexpertos explota ampliamente los problemas que soluciona es solo una cuestión de días.

    
respondido por el tylerl 27.09.2012 - 02:07
fuente

Lea otras preguntas en las etiquetas

¿Existe un sitio web o un programa descargable gratuito para identificar y eliminar el malware de un archivo ISO? ¿Es seguro invocar funciones GD de PHP si no sabe si el archivo es una imagen válida?