Bom dia. Já tive problema parecido com um Wordpress desatualizado com erro de permissão na pasta de upload.
O "vírus" inseria código codificado em base64 em todos os arquivos php da aplicação, fazendo com que a "reinfecção" fosse continua. Consegui identificar o problema quando percebi alguns arquivos como index.php, page.php espalhados por outros níveis da árvore de diretórios, onde não deveriam estar. Provavelmente você esteja sofrendo com algo equivalente. Indicaria inicialmente para remover a permissão de execução de arquivos PHP nos diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle melhor dos tipos de arquivos com permissão de upload. Depois disso vai ser um trabalho de formiguinha para encontrarmos os includes realizados pelo "vírus" dentro das suas aplicações. Você pode instalar uma nova aplicação chamariz, do zero, para ver se a infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao reaplicar as customizações você acaba trazendo o problema novamente. Boa sorte. Em ter, 25 de jun de 2019 19:03, <[email protected]> escreveu: > Ola! > > Você disse ter *algumas* aplicações, entre elas um Drupal. > > O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo > Drupal. > > No caso do Drupal, instalar o módulo Security kit pode ser uma boa ideia, > mas não garante que o problema seja resolvido, pois pode não ser dele o > problema e sim de alguma de suas outras aplicações web que podem ter > particularidades *interessantes*. > > Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do > apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não > o problema. > > O ideal é descobrir a aplicação que não está preparada para lidar com a > injeção de código e atualiza-la/conserta-la. > > Abraços e divirta-se :) > > > > -- > Enviado do meu BlackBerry > > > > Mensagem Original > > > > De: [email protected] > Enviados: 25 de junho de 2019 17:12 > Para: [email protected] > Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! > > > Prezado Colegas, > > Recorro a ajuda dos senhores, para resolver um problema que está me > tirando o sono. > > Possuo o seguinte cenário: > Servidor Linux com Apache, PHP e MySQL. > > VERSÕES: > - Debian Stretch 9.9 > - Apache 2.4.25 > - PHP 7.0.33 > - MysQL 5.7.26 > > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. > Estão conseguindo injetar uma espécie de código criptografado dentro dos > arquivos PHP. > Eu excluo os arquivos, instalo as aplicações do zero, com o código > limpo... Mas o código criptografado sempre volta. > > Existe algum ajusto específico que eu possa fazer no > "/etc/php/7.0/apache2/php.ini" para resolver esse problema? > > Desabilitei essas funções: > > disable_functions = > pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file > > Mesmo assim o problema persiste. > A ultima coisa que tentei foi "fechar" mais as permissões do apache. > > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos > estão com 644. > Grupo e usuário é o www-data > > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. > > Existe algo que eu possa fazer? > > Atenciosamente, > > Henrique Fagundes > Analista de Suporte Linux > [email protected] > Skype: magnata-br-rj > Linux User: 475399 > > https://www.aprendendolinux.com > https://www.facebook.com/AprendendoLinux > https://youtube.com/AprendendoLinux > https://twitter.com/AprendendoLinux > https://t.me/AprendendoLinux > https://t.me/GrupoAprendendoLinux > ______________________________________________________________________ > Participe do Grupo Aprendendo Linux > https://listas.aprendendolinux.com/listinfo/aprendendolinux > > Ou envie um e-mail para: > [email protected] > > BRASIL acima de tudo, DEUS acima de todos! > > >
