Henrique, Onde trabalho tive um caso semelhante, mas com um Joomla muito antigo e sem condições de fazer atualização (cliente não quer $, não tem mais o template, ...). Temos nas máquinas de site o SuPHP que isola o usuário ao site. Foi um trabalho de formiguinha, mas temos um index.ok (cópia do index.php) em root e demos chattr +i no index.php tornado ele imutável, e um inotify que se for gravado algum arquivo o mesmo é deletado. Então os hackers tentam, tentam, e morrem na praia. Mas, tem que avaliar e ver se é possível fazer tudo isso.
Alguns scanners ajudam a localizar o que está infectado: https://github.com/gwillem/magento-malware-scanner https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS- https://sitecheck.sucuri.net/ Tem que pesquisar e ver se tem algum que se adéqua ao Drupal. Abraços, Paulo Correia Em 25/06/2019 17:12, Henrique Fagundes escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me tirando o > sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... > Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão > com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > ______________________________________________________________________ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > >
