Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Henrique, Onde trabalho tive um caso semelhante, mas com um Joomla muito antigo e sem condições de fazer atualização (cliente não quer $, não tem mais o template, ...). Temos nas máquinas de site o SuPHP que isola o usuário ao site. Foi um trabalho de formiguinha, mas temos um index.ok (cópia do index.php) em root e demos chattr +i no index.php tornado ele imutável, e um inotify que se for gravado algum arquivo o mesmo é deletado. Então os hackers tentam, tentam, e morrem na praia. Mas, tem que avaliar e ver se é possível fazer tudo isso. Alguns scanners ajudam a localizar o que está infectado: https://github.com/gwillem/magento-malware-scanner https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS- https://sitecheck.sucuri.net/ Tem que pesquisar e ver se tem algum que se adéqua ao Drupal. Abraços, Paulo Correia Em 25/06/2019 17:12, Henrique Fagundes escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me tirando o > sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... > Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão > com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > __ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > >
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Qual a versão do Drupal? Provavelmente é algum bug. Drupral deve estar sempre muito bem atualizado e evitar utilização e plugins de terceiros, principalmente se foram "crackeados", devido a backdoors. Ao encaminhar esta mensagem, por favor: 1 - Apague meu endereço eletrônico; 2 - Encaminhe como Cópia Oculta (Cco ou BCc) aos seus destinatários. Dificulte assim a disseminação de vírus, spams e banners. #=+ #!/usr/bin/env python nome = 'Sinval Júnior' email = 'sinvalju arroba gmail ponto com' print nome print email #==+ Em ter, 25 de jun de 2019 às 17:12, Henrique Fagundes < supo...@aprendendolinux.com> escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > __ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > > >
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Bom se a maquina foi infectada e vc não tem um sistema de IDS recomendo fortemente a reinstalação do zero, senão você nunca terá certeza se o sistema está limpo ou não.. Em qua, 26 de jun de 2019 às 10:55, Leandro Henrique Stein < leandro.h.st...@gmail.com> escreveu: > Bom dia. > > Já tive problema parecido com um Wordpress desatualizado com erro de > permissão na pasta de upload. > > O "vírus" inseria código codificado em base64 em todos os arquivos php da > aplicação, fazendo com que a "reinfecção" fosse continua. > > Consegui identificar o problema quando percebi alguns arquivos como > index.php, page.php espalhados por outros níveis da árvore de diretórios, > onde não deveriam estar. > > Provavelmente você esteja sofrendo com algo equivalente. Indicaria > inicialmente para remover a permissão de execução de arquivos PHP nos > diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle > melhor dos tipos de arquivos com permissão de upload. > > Depois disso vai ser um trabalho de formiguinha para encontrarmos os > includes realizados pelo "vírus" dentro das suas aplicações. > > Você pode instalar uma nova aplicação chamariz, do zero, para ver se a > infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao > reaplicar as customizações você acaba trazendo o problema novamente. > > Boa sorte. > > Em ter, 25 de jun de 2019 19:03, escreveu: > >> Ola! >> >> Você disse ter *algumas* aplicações, entre elas um Drupal. >> >> O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo >> Drupal. >> >> No caso do Drupal, instalar o módulo Security kit pode ser uma boa >> ideia, mas não garante que o problema seja resolvido, pois pode não ser >> dele o problema e sim de alguma de suas outras aplicações web que podem ter >> particularidades *interessantes*. >> >> Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity >> do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas >> não o problema. >> >> O ideal é descobrir a aplicação que não está preparada para lidar com a >> injeção de código e atualiza-la/conserta-la. >> >> Abraços e divirta-se :) >> >> >> >> -- >> Enviado do meu BlackBerry >> >> >> >> Mensagem Original >> >> >> >> De: supo...@aprendendolinux.com >> Enviados: 25 de junho de 2019 17:12 >> Para: debian-user-portuguese@lists.debian.org >> Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! >> >> >> Prezado Colegas, >> >> Recorro a ajuda dos senhores, para resolver um problema que está me >> tirando o sono. >> >> Possuo o seguinte cenário: >> Servidor Linux com Apache, PHP e MySQL. >> >> VERSÕES: >> - Debian Stretch 9.9 >> - Apache 2.4.25 >> - PHP 7.0.33 >> - MysQL 5.7.26 >> >> Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. >> Estão conseguindo injetar uma espécie de código criptografado dentro dos >> arquivos PHP. >> Eu excluo os arquivos, instalo as aplicações do zero, com o código >> limpo... Mas o código criptografado sempre volta. >> >> Existe algum ajusto específico que eu possa fazer no >> "/etc/php/7.0/apache2/php.ini" para resolver esse problema? >> >> Desabilitei essas funções: >> >> disable_functions = >> pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file >> >> Mesmo assim o problema persiste. >> A ultima coisa que tentei foi "fechar" mais as permissões do apache. >> >> O /var/www e seus subdiretórios estão com permissão 700 e os arquivos >> estão com 644. >> Grupo e usuário é o www-data >> >> Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. >> >> Existe algo que eu possa fazer? >> >> Atenciosamente, >> >> Henrique Fagundes >> Analista de Suporte Linux >> supo...@aprendendolinux.com >> Skype: magnata-br-rj >> Linux User: 475399 >> >> https://www.aprendendolinux.com >> https://www.facebook.com/AprendendoLinux >> https://youtube.com/AprendendoLinux >> https://twitter.com/AprendendoLinux >> https://t.me/AprendendoLinux >> https://t.me/GrupoAprendendoLinux >> __ >> Participe do Grupo Aprendendo Linux >> https://listas.aprendendolinux.com/listinfo/aprendendolinux >> >> Ou envie um e-mail para: >> aprendendolinux-subscr...@listas.aprendendolinux.com >> >> BRASIL acima de tudo, DEUS acima de todos! >> >> >> -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Bom dia. Já tive problema parecido com um Wordpress desatualizado com erro de permissão na pasta de upload. O "vírus" inseria código codificado em base64 em todos os arquivos php da aplicação, fazendo com que a "reinfecção" fosse continua. Consegui identificar o problema quando percebi alguns arquivos como index.php, page.php espalhados por outros níveis da árvore de diretórios, onde não deveriam estar. Provavelmente você esteja sofrendo com algo equivalente. Indicaria inicialmente para remover a permissão de execução de arquivos PHP nos diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle melhor dos tipos de arquivos com permissão de upload. Depois disso vai ser um trabalho de formiguinha para encontrarmos os includes realizados pelo "vírus" dentro das suas aplicações. Você pode instalar uma nova aplicação chamariz, do zero, para ver se a infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao reaplicar as customizações você acaba trazendo o problema novamente. Boa sorte. Em ter, 25 de jun de 2019 19:03, escreveu: > Ola! > > Você disse ter *algumas* aplicações, entre elas um Drupal. > > O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo > Drupal. > > No caso do Drupal, instalar o módulo Security kit pode ser uma boa ideia, > mas não garante que o problema seja resolvido, pois pode não ser dele o > problema e sim de alguma de suas outras aplicações web que podem ter > particularidades *interessantes*. > > Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do > apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não > o problema. > > O ideal é descobrir a aplicação que não está preparada para lidar com a > injeção de código e atualiza-la/conserta-la. > > Abraços e divirta-se :) > > > > -- > Enviado do meu BlackBerry > > > > Mensagem Original > > > > De: supo...@aprendendolinux.com > Enviados: 25 de junho de 2019 17:12 > Para: debian-user-portuguese@lists.debian.org > Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! > > > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > __ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > > >
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Le mar. 25 juin 2019 à 19:03, a écrit : > > O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo > Drupal. Bom lembrar também que tanto PHP quanto MySQL são componentes de qualidade relativamente baixa, e relativamente vulneráveis quando comparados com aplicativos feitos com plataformas mais sólidas. Uma alternativa também trabalhosa é procurar livrar-se deles em favor de alternativas como PostgreSQL, no caso do MySQL; no caso da combinação PHP/MySQL, creio que talvez haja arcabouços do PHP que minoram o problema, não lembro se era o caso do Pear. -- skype:leandro.gfc.dutra?chat Yahoo!: ymsgr:sendIM?lgcdutra +55 (61) 3546 7191 gTalk: xmpp:leand...@jabber.org +55 (61) 9302 2691ICQ/AIM: aim:GoIM?screenname=61287803 BRAZIL GMT−3 MSN: msnim:chat?contact=lean...@dutra.fastmail.fm
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Ola! Você disse ter *algumas* aplicações, entre elas um Drupal. O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal. No caso do Drupal, instalar o módulo Security kit pode ser uma boa ideia, mas não garante que o problema seja resolvido, pois pode não ser dele o problema e sim de alguma de suas outras aplicações web que podem ter particularidades *interessantes*. Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não o problema. O ideal é descobrir a aplicação que não está preparada para lidar com a injeção de código e atualiza-la/conserta-la. Abraços e divirta-se :) -- Enviado do meu BlackBerry Mensagem Original De: supo...@aprendendolinux.com Enviados: 25 de junho de 2019 17:12 Para: debian-user-portuguese@lists.debian.org Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! Prezado Colegas, Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono. Possuo o seguinte cenário: Servidor Linux com Apache, PHP e MySQL. VERSÕES: - Debian Stretch 9.9 - Apache 2.4.25 - PHP 7.0.33 - MysQL 5.7.26 Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP. Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta. Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema? Desabilitei essas funções: disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file Mesmo assim o problema persiste. A ultima coisa que tentei foi "fechar" mais as permissões do apache. O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644. Grupo e usuário é o www-data Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. Existe algo que eu possa fazer? Atenciosamente, Henrique Fagundes Analista de Suporte Linux supo...@aprendendolinux.com Skype: magnata-br-rj Linux User: 475399 https://www.aprendendolinux.com https://www.facebook.com/AprendendoLinux https://youtube.com/AprendendoLinux https://twitter.com/AprendendoLinux https://t.me/AprendendoLinux https://t.me/GrupoAprendendoLinux __ Participe do Grupo Aprendendo Linux https://listas.aprendendolinux.com/listinfo/aprendendolinux Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com BRASIL acima de tudo, DEUS acima de todos!
Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
O mais correto é você identificar por onde está entrando esse ataque, bem como verificar possíveis bugs/exploits nas tecnologias utilizadas, arrumar uma solução sem identificar o problema é o mesmo que dar um remédio pra dor de cabeça quando o problema é no coração. Sugestões de pesquisa: Exploits or backdoor on Apache 2.4.25 Exploits or backdoor on PHP 7.0.33 Exploits or backdoor on MysQL 5.7.26 SQL injection Drupal backdoor E por ai vai. Boa sorte. Em ter, 25 de jun de 2019 às 16:12, Henrique Fagundes < supo...@aprendendolinux.com> escreveu: > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > supo...@aprendendolinux.com > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > __ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > aprendendolinux-subscr...@listas.aprendendolinux.com > > BRASIL acima de tudo, DEUS acima de todos! > > >
[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Prezado Colegas, Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono. Possuo o seguinte cenário: Servidor Linux com Apache, PHP e MySQL. VERSÕES: - Debian Stretch 9.9 - Apache 2.4.25 - PHP 7.0.33 - MysQL 5.7.26 Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP. Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta. Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema? Desabilitei essas funções: disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file Mesmo assim o problema persiste. A ultima coisa que tentei foi "fechar" mais as permissões do apache. O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644. Grupo e usuário é o www-data Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. Existe algo que eu possa fazer? Atenciosamente, Henrique Fagundes Analista de Suporte Linux supo...@aprendendolinux.com Skype: magnata-br-rj Linux User: 475399 https://www.aprendendolinux.com https://www.facebook.com/AprendendoLinux https://youtube.com/AprendendoLinux https://twitter.com/AprendendoLinux https://t.me/AprendendoLinux https://t.me/GrupoAprendendoLinux __ Participe do Grupo Aprendendo Linux https://listas.aprendendolinux.com/listinfo/aprendendolinux Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com BRASIL acima de tudo, DEUS acima de todos!
