Cara tive um caso semelhante era script que o cara deixou rodando matei o script tirei permissão e funcionou de boa, o certo é ver se esta tudo certo e fazer testes de vulnerabilidade pra ver como esta o servidor.
2009/8/14 Felipe Tanus <[email protected]> > Jorge, > > Não há jeito MESMO depois de uma invasão de ter certeza que o > atacante não usou táticas para garantir sua volta. Ele entrou agora por php > injection, mecheu no seu sistema e possivelmente tem acesso a ele agora. O > único meio seguro de impedir que isso aconteça novamente é formatando a > máquina. Sério. Eu sei que é chato, mas se eu fosse você se acostumava com a > idéia.... > Se você for instalar novamente o servidor, aconselho procurar e > seguir dicas de segurança, e manter seu sistema sempre atualizado. > > []'s > > > > 2009/8/14 Junior <[email protected]> > > Muito bom Jorge mesmo assim se eu fosse você faria um clone deste hd para >> analisar e faria uma máquina novinha. >> >> Jorge Filho escreveu: >> >> Bom pessoal, analisei várias coisas, mudei permissões dos arquivos na >> pasta do site, mas mesmo assim, ontem o atacante conseguiu novamente >> infiltrar codigo no index.php, além de setar permissões na pasta raiz do >> site. Não tem rastro de invasão do servidor em si, mas procurei >> literatura sobre php injection e entendi o funcionamento dele, até fiz >> alguns testes aqui e realmente funciona esses códigos, o que vai depender do >> jeito que as páginas php foram desenvolvidas. Bom que já aprendi como >> funciona essa forma de ataque. >> Uma providência que tomei foi seguir essas dicas >> http://www.gdhpress.com.br/blog/seguranca-php-lamp/ >> A opção disable_functions não tinha nada setado, safe mode e safe mode gid >> estava off, e expose php também off. >> Depois que setei o disable_funcions no php.ini, conforme está no artigo, >> tentei rodar um scritp php com um system("ls -la") e então o sistema me >> retornou um erro dizendo que não era possivel executar a função system, >> porque está bloqueada. Antes de reconfigurar como no artigo eu conseguia dar >> qualquer comando com essa função. >> Além dessas providências no php.ini, também desabilitei módulo de cgi do >> apache, pois não utilizo cgi e habilitei o mod_secure2. >> Vou verificar esses dias se haverá outra ataque, espero ter resolvido. >> >> 2009/8/13 Rafael de Paula Herrera <[email protected]> >> >>> >>> 2009/8/13 Jorge Filho <[email protected]>: >>> > Boa tarde Rafael, pelo que eu consegui analisar, tudo leva a crer que >>> foi >>> > php injection. >>> >>> aconselho que verifique em que ponto seu sistema eh vulneravel... >>> procurando pela net vc acha inumeros artigos, tutoriais, posts, etc, >>> falando como prevenir ataques xss e afins... >>> >>> > >>> > >>> > 2009/8/13 Celso Nery <[email protected]> >>> >> >>> >> Rafael de Paula Herrera escreveu: >>> >> > 2009/8/11 Rafael de Paula Herrera <[email protected]>: >>> >> > >>> >> >> 2009/8/11 Jorge Filho <[email protected]>: >>> >> >> >>> >> >>> Caramba, apaguei o arquivo :S >>> >> >>> Invasão não foi, porque os ultimos logins com usuario e root foram >>> >> >>> meus, >>> >> >>> qual outra forma alguém poderia utilizar pra gravar um arquivo >>> dentro >>> >> >>> do >>> >> >>> diretorio do site? >>> >> >>> >>> >> >> vc pde ter algum servico que foi exploitado e o cara se utilizou >>> dessa >>> >> >> "manha"... isso em geral nem deixa na cara o q foi feito... >>> >> >> >>> >> >> vc tb pde ter caido na infelicidade de ter algum login/senha faceis >>> de >>> >> >> se adivinhar no seu ftp (se estiver rodando) ou ssh (o q eh pior >>> >> >> ainda)... >>> >> >> >>> >> >> tem tb, como acabei de ver q o amigo ananias citou, ataques >>> baseados >>> >> >> em xss (cross site script), relativos as aplicacoes web q vc tem >>> >> >> rodando no seu apache (ou seja lah o que for)... >>> >> >> >>> >> > >>> >> > soh pra complementar, tenta instalar o rkhunter (root kit hunter), >>> ele >>> >> > verifica se tem alguma coisa errada no seu sistema (tem falsos >>> >> > positivos, sim, mas sao poucos e da pra saber na boa quando eh vdd >>> ou >>> >> > nao...) >>> >> > http://rkhunter.sourceforge.net/ >>> >> > >>> >> > sugiro que teste outras ferramentas que se enquadram nessa categoria >>> >> > tb... o pessoal aqui deve conhecer varias outras... >>> >> > >>> >> > >>> >> > >>> >> >>> >>> >> >>> 2009/8/11 Felipe Tanus <[email protected]> >>> >> >>> >>> >> >>>> Oi, >>> >> >>>> >>> >> >>>> De uma olhada em quem criou, em que data e com qual >>> login. >>> >> >>>> Porvavelmente seu servidor foi invadido. >>> >> >>>> >>> >> >>>> []'s >>> >> >>>> >>> >> >>>> 2009/8/11 Jorge Filho <[email protected]> >>> >> >>>> >>> >> >>>>> Boa noite pessoal. >>> >> >>>>> >>> >> >>>>> Hoje aconteceu algo muito estranho no meu server web, de manhã, >>> >> >>>>> quando >>> >> >>>>> alguém entrava no site aparecia uma tela pedindo pra executar um >>> >> >>>>> javascript. >>> >> >>>>> Qual não foi minha surpresa quando vi um arquivo diferente na >>> raiz >>> >> >>>>> do meu >>> >> >>>>> site, com nome de asd.html? >>> >> >>>>> >>> >> >>>>> Com é possível isso ter acontecido? Que tipo de configuração eu >>> devo >>> >> >>>>> verificar se tem problema? Fiquei sem saber o que fazer. >>> >> >>>>> >>> >> >>>>> Jorge >>> >> >>>>> >>> >> >>>>> >>> >> >>>>> >>> >> >>>> >>> >> >>>> -- >>> >> >>>> >>> >> >>>> Felipe de Oliveira Tanus >>> >> >>>> E-mail: [email protected] >>> >> >>>> Blog: http://fotanus.blogspot.com/ >>> >> >>>> Site: >>> >> >>>> http://www.inf.ufrgs.br/~fotanus/<http://www.inf.ufrgs.br/%7Efotanus/> >>> >> >>>> ----- >>> >> >>>> Aperture Science: >>> >> >>>> We do what we must because we can >>> >> >>>> For the good of all of us >>> >> >>>> except for the ones who are dead >>> >> >>>> >>> >> >>>> >>> >> >>>> >>> >> >>> >>> >> >> []'s! >>> >> >> t++! >>> >> >> >>> >> >> -- >>> >> >> Rafael de Paula Herrera >>> >> >> http://sirboderafael.wordpress.com >>> >> >> #444395 >>> >> >> >>> >> >> >>> >> > >>> >> > []'s! >>> >> > t++! >>> >> > >>> >> > >>> >> Isso eh php injection sua pagina deve ta vulneravel. da uma procurada >>> >> nisso no google. >>> >> >>> >> >>> > >>> > >>> > > >>> > >>> >>> >>> >>> -- >>> Rafael de Paula Herrera >>> http://sirboderafael.wordpress.com >>> #444395 >>> >>> >>> >> >> >> >> >> >> __________ Information from ESET NOD32 Antivirus, version of virus >> signature database 4335 (20090814) __________ >> >> The message was checked by ESET NOD32 Antivirus. >> >> http://www.eset.com >> >> >> > > > -- > > Felipe de Oliveira Tanus > E-mail: [email protected] > Blog: http://fotanus.blogspot.com/ > Site: http://www.inf.ufrgs.br/~fotanus/ > ----- > Aperture Science: > We do what we must because we can > For the good of all of us > except for the ones who are dead > > > > -- Rafael Rodrigues de Oliveira Jesus Christ's Blood Purifies Us of All Sin Linux #357492 / FreeBSD #BSD051202 CISCO CCNA Loading .ılı..ılı. http://lmgtfy.com/ --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
