Servidor atacado por Phishing

Hola a todos.

Tengo un problema a ver si me pueden ayudar. Tengo un VPS el cual están atacando continuamente con phishing. Me estoy encontrado en múltiples dominios script de phising y no paro de borrarlos y cambiar las contraseñas de acceso FTP.

He estado viendo en Internet que dicen que se pueden colocar por CMS no actualizados, así que los he actualizado todos, pero aún así siguen apareciendo, incluso aparen en páginas de contenido estático.

Los permisos de las carpetas los tengo a 755 y ficheros 644, pero nada, no hay forma.

¿Alguien sabe de alguna manera que pueda solventar esto?

Muchas gracias.
Un saludo.

lo mas probable es que te hayan dejado una web shell, revisa los logs de apache ...

Adicional a los CMS, los plugins deben ser seguros y estar actualizados

Consejos:

Siempre usa FTP encriptado
Instala un WAF
usa maldet para detectar infecciones y malware

Con esos 3 tendrás algo de seguridad adicional

¿Qué se supone que debo encontrar en el log del apache para buscar? Gracias.

pues llamadas a url, digamos no muy normales...etc.

el problema que vas a tener es si el cliente persiste en no actualizar su cms, tendrás que suspenderlo y eliminar el contenido.

saludos.

ya te lo dijo algo asi como


url/dir/shell.php
url/dir/c99.php
url/dir/algunphpdiferente.php

Disculpame si suena fuerte esto, pero por que no buscar un sys admin que haga eso ? vas a la fija asi te veas obligado a pagar algo de dinero y de paso te aseguras que sea más difícil que vuelva a pasar.