O mais correto é você identificar por onde está entrando esse ataque, bem como verificar possíveis bugs/exploits nas tecnologias utilizadas, arrumar uma solução sem identificar o problema é o mesmo que dar um remédio pra dor de cabeça quando o problema é no coração.
Sugestões de pesquisa: Exploits or backdoor on Apache 2.4.25 Exploits or backdoor on PHP 7.0.33 Exploits or backdoor on MysQL 5.7.26 SQL injection Drupal backdoor E por ai vai. Boa sorte. Em ter, 25 de jun de 2019 às 16:12, Henrique Fagundes < supo...@aprendendolinux.com> escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > ______________________________________________________________________ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > > >
