Bom se a maquina foi infectada e vc não tem um sistema de IDS recomendo fortemente a reinstalação do zero, senão você nunca terá certeza se o sistema está limpo ou não......
Em qua, 26 de jun de 2019 às 10:55, Leandro Henrique Stein < [email protected]> escreveu: > Bom dia. > > Já tive problema parecido com um Wordpress desatualizado com erro de > permissão na pasta de upload. > > O "vírus" inseria código codificado em base64 em todos os arquivos php da > aplicação, fazendo com que a "reinfecção" fosse continua. > > Consegui identificar o problema quando percebi alguns arquivos como > index.php, page.php espalhados por outros níveis da árvore de diretórios, > onde não deveriam estar. > > Provavelmente você esteja sofrendo com algo equivalente. Indicaria > inicialmente para remover a permissão de execução de arquivos PHP nos > diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle > melhor dos tipos de arquivos com permissão de upload. > > Depois disso vai ser um trabalho de formiguinha para encontrarmos os > includes realizados pelo "vírus" dentro das suas aplicações. > > Você pode instalar uma nova aplicação chamariz, do zero, para ver se a > infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao > reaplicar as customizações você acaba trazendo o problema novamente. > > Boa sorte. > > Em ter, 25 de jun de 2019 19:03, <[email protected]> escreveu: > >> Ola! >> >> Você disse ter *algumas* aplicações, entre elas um Drupal. >> >> O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo >> Drupal. >> >> No caso do Drupal, instalar o módulo Security kit pode ser uma boa >> ideia, mas não garante que o problema seja resolvido, pois pode não ser >> dele o problema e sim de alguma de suas outras aplicações web que podem ter >> particularidades *interessantes*. >> >> Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity >> do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas >> não o problema. >> >> O ideal é descobrir a aplicação que não está preparada para lidar com a >> injeção de código e atualiza-la/conserta-la. >> >> Abraços e divirta-se :) >> >> >> >> -- >> Enviado do meu BlackBerry >> >> >> >> Mensagem Original >> >> >> >> De: [email protected] >> Enviados: 25 de junho de 2019 17:12 >> Para: [email protected] >> Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP! >> >> >> Prezado Colegas, >> >> Recorro a ajuda dos senhores, para resolver um problema que está me >> tirando o sono. >> >> Possuo o seguinte cenário: >> Servidor Linux com Apache, PHP e MySQL. >> >> VERSÕES: >> - Debian Stretch 9.9 >> - Apache 2.4.25 >> - PHP 7.0.33 >> - MysQL 5.7.26 >> >> Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. >> Estão conseguindo injetar uma espécie de código criptografado dentro dos >> arquivos PHP. >> Eu excluo os arquivos, instalo as aplicações do zero, com o código >> limpo... Mas o código criptografado sempre volta. >> >> Existe algum ajusto específico que eu possa fazer no >> "/etc/php/7.0/apache2/php.ini" para resolver esse problema? >> >> Desabilitei essas funções: >> >> disable_functions = >> pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file >> >> Mesmo assim o problema persiste. >> A ultima coisa que tentei foi "fechar" mais as permissões do apache. >> >> O /var/www e seus subdiretórios estão com permissão 700 e os arquivos >> estão com 644. >> Grupo e usuário é o www-data >> >> Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP. >> >> Existe algo que eu possa fazer? >> >> Atenciosamente, >> >> Henrique Fagundes >> Analista de Suporte Linux >> [email protected] >> Skype: magnata-br-rj >> Linux User: 475399 >> >> https://www.aprendendolinux.com >> https://www.facebook.com/AprendendoLinux >> https://youtube.com/AprendendoLinux >> https://twitter.com/AprendendoLinux >> https://t.me/AprendendoLinux >> https://t.me/GrupoAprendendoLinux >> ______________________________________________________________________ >> Participe do Grupo Aprendendo Linux >> https://listas.aprendendolinux.com/listinfo/aprendendolinux >> >> Ou envie um e-mail para: >> [email protected] >> >> BRASIL acima de tudo, DEUS acima de todos! >> >> >> -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
