Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

[Sinval Júnior <sinvalju@gmail.com>]

Qual a versão do Drupal? Provavelmente é algum bug. Drupral deve estar sempre muito bem atualizado e evitar utilização e plugins de terceiros, principalmente se foram "crackeados",  devido a backdoors.

Ao encaminhar esta mensagem, por favor:
1 - Apague meu endereço eletrônico;
2 - Encaminhe como Cópia Oculta (Cco ou BCc) aos seus destinatários. Dificulte assim a disseminação de vírus, spams e banners.

#=================================================================+
#!/usr/bin/env python
nome = 'Sinval Júnior'
email = 'sinvalju arroba gmail ponto com'
print nome
print email
#==================================================================+

Em ter, 25 de jun de 2019 às 17:12, Henrique Fagundes <suporte@aprendendolinux.com> escreveu:

Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
suporte@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
aprendendolinux-subscribe@listas.aprendendolinux.com

BRASIL acima de tudo, DEUS acima de todos!