[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Prezado Colegas, Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono. Possuo o seguinte cenário: Servidor Linux com Apache, PHP e MySQL. VERSÕES: - Debian Stretch 9.9 - Apache 2.4.25 - PHP 7.0.33 - MysQL 5.7.26 Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP. Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta. Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema? Desabilitei essas funções: disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file Mesmo assim o problema persiste. A ultima coisa que tentei foi "fechar" mais as permissões do apache. O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644. Grupo e usuário é o www-data Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. Existe algo que eu possa fazer? Atenciosamente, Henrique Fagundes Analista de Suporte Linux supo...@aprendendolinux.com Skype: magnata-br-rj Linux User: 475399 https://www.aprendendolinux.com https://www.facebook.com/AprendendoLinux https://youtube.com/AprendendoLinux https://twitter.com/AprendendoLinux https://t.me/AprendendoLinux https://t.me/GrupoAprendendoLinux __ Participe do Grupo Aprendendo Linux https://listas.aprendendolinux.com/listinfo/aprendendolinux Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com BRASIL acima de tudo, DEUS acima de todos!
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
O mais correto é você identificar por onde está entrando esse ataque, bem como verificar possíveis bugs/exploits nas tecnologias utilizadas, arrumar uma solução sem identificar o problema é o mesmo que dar um remédio pra dor de cabeça quando o problema é no coração. Sugestões de pesquisa: Exploits or backdoor on Apache 2.4.25 Exploits or backdoor on PHP 7.0.33 Exploits or backdoor on MysQL 5.7.26 SQL injection Drupal backdoor E por ai vai. Boa sorte. Em ter, 25 de jun de 2019 às 16:12, Henrique Fagundes < supo...@aprendendolinux.com> escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > __ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > > >
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Ola! Você disse ter *algumas* aplicações, entre elas um Drupal. O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal. No caso do Drupal, instalar o módulo Security kit pode ser uma boa ideia, mas não garante que o problema seja resolvido, pois pode não ser dele o problema e sim de alguma de suas outras aplicações web que podem ter particularidades *interessantes*. Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não o problema. O ideal é descobrir a aplicação que não está preparada para lidar com a injeção de código e atualiza-la/conserta-la. Abraços e divirta-se :) -- Enviado do meu BlackBerry Mensagem Original De: supo...@aprendendolinux.com Enviados: 25 de junho de 2019 17:12 Para: debian-user-portuguese@lists.debian.org Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! Prezado Colegas, Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono. Possuo o seguinte cenário: Servidor Linux com Apache, PHP e MySQL. VERSÕES: - Debian Stretch 9.9 - Apache 2.4.25 - PHP 7.0.33 - MysQL 5.7.26 Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP. Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta. Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema? Desabilitei essas funções: disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file Mesmo assim o problema persiste. A ultima coisa que tentei foi "fechar" mais as permissões do apache. O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644. Grupo e usuário é o www-data Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. Existe algo que eu possa fazer? Atenciosamente, Henrique Fagundes Analista de Suporte Linux supo...@aprendendolinux.com Skype: magnata-br-rj Linux User: 475399 https://www.aprendendolinux.com https://www.facebook.com/AprendendoLinux https://youtube.com/AprendendoLinux https://twitter.com/AprendendoLinux https://t.me/AprendendoLinux https://t.me/GrupoAprendendoLinux __ Participe do Grupo Aprendendo Linux https://listas.aprendendolinux.com/listinfo/aprendendolinux Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com BRASIL acima de tudo, DEUS acima de todos!
