Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

To: "debian-user-portuguese@lists.debian.org" <debian-user-portuguese@lists.debian.org>
Subject: Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
From: Paulo Correia <psctec@hotmail.com>
Date: Sat, 29 Jun 2019 13:49:08 +0000
Message-id: <[🔎] SC1PR80MB0591B6F648EAC61E924000CFDDFF0@SC1PR80MB0591.lamprd80.prod.outlook.com>
In-reply-to: <[🔎] 20190625201225.oeerkmdbac65lzmg@echelon.aprendendolinux.com>
References: <[🔎] 20190625201225.oeerkmdbac65lzmg@echelon.aprendendolinux.com>

Henrique,

Onde trabalho tive um caso semelhante, mas com um Joomla muito antigo e 
sem condições de fazer atualização (cliente não quer $, não tem mais o 
template, ...).
Temos nas máquinas de site o SuPHP que isola o usuário ao site.
Foi um trabalho de formiguinha, mas temos um index.ok (cópia do 
index.php) em root e demos chattr +i no index.php tornado ele imutável, 
e um inotify que se for gravado algum arquivo o mesmo é deletado.
Então os hackers tentam, tentam, e morrem na praia.
Mas, tem que avaliar e ver se é possível fazer tudo isso.

Alguns scanners ajudam a localizar o que está infectado:

https://github.com/gwillem/magento-malware-scanner
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS-

https://sitecheck.sucuri.net/

Tem que pesquisar e ver se tem algum que se adéqua ao Drupal.

Abraços,

Paulo Correia


Em 25/06/2019 17:12, Henrique Fagundes escreveu:
> Prezado Colegas,
>
> Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
>
> Possuo o seguinte cenário:
> Servidor Linux com Apache, PHP e MySQL.
>
> VERSÕES:
> - Debian Stretch 9.9
> - Apache 2.4.25
> - PHP 7.0.33
> - MysQL 5.7.26
>
> Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
> Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
>
> Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
>
> Desabilitei essas funções:
>
> disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
>
> Mesmo assim o problema persiste.
> A ultima coisa que tentei foi "fechar" mais as permissões do apache.
>
> O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
> Grupo e usuário é o www-data
>
> Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
>
> Existe algo que eu possa fazer?
>
> Atenciosamente,
>
> Henrique Fagundes
> Analista de Suporte Linux
> suporte@aprendendolinux.com
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://t.me/AprendendoLinux
> https://t.me/GrupoAprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> aprendendolinux-subscribe@listas.aprendendolinux.com
>
> BRASIL acima de tudo, DEUS acima de todos!
>
>

Reply to:

References:
- [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
  - From: Henrique Fagundes <suporte@aprendendolinux.com>

Prev by Date: Re: SSH Tunneling
Next by Date: Re: Lançamento da Buster
Previous by thread: Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
Next by thread: maildir + procmail/mutt
Index(es):
- Date
- Thread