[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
0 views
Skip to first unread message
Henrique Fagundes
Jun 25, 2019, 4:12:47 PM6/25/19
to sc-l...@googlegroups.com
Prezado Colegas,
Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.
VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26
Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
Desabilitei essas funções:
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.
O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data
Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
Existe algo que eu possa fazer?
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
BRASIL acima de tudo, DEUS acima de todos!
Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.
VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26
Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
Desabilitei essas funções:
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.
O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data
Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
Existe algo que eu possa fazer?
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
BRASIL acima de tudo, DEUS acima de todos!
Eduardo Maes
Jun 25, 2019, 7:02:42 PM6/25/19
to SC Linux
Fala Henrique, tudo bem?
Penso em duas possibilidades:
1) versão atual do Drupal vulnerável ou anterior que permitiu subir um backdoor;
2) servidor compartilhado com aplicações vulneráveis de outras contas e escalação de privilégio, permitindo edição dos seus arquivos.
O cenário ideal seria reinstalar do zero, inclusive o sistema operacional/imagem (caso haja a possibilidade), uma vez que não tem como saber o que tudo pode ter sido comprometido.
Como medida paliativa, caso não seja possível reinstalar tudo, sugiro começar com a instalação do Sucuri plug-in, que acredito ter para Drupal, e estudar a remoção de malware para essa plataforma. No blog da Sucuri deve ter esse tipo de material também.
Abraço.
--
Você está recebendo esta mensagem porque se inscreveu no grupo "Grupo de Usuarios Linux de Santa Catarina" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para sc-linux+u...@googlegroups.com.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/sc-linux/20190625201236.jvbd4pk3a6mdrtww%40echelon.aprendendolinux.com.
Para obter mais opções, acesse https://groups.google.com/d/optout.
Henrique Fagundes
Jun 25, 2019, 9:22:57 PM6/25/19
to sc-linux, SC Linux
Eduardo,
Desde já, obrigado por responder.
To seguindo a sugestão de um outro colega que é a seguinte:
Removi os arquivos, subi o backup (código limpo) e removi as permissões de escrita dos arquivos.
Fiz isso hoje de manhã.
Até agora, nem sinal do ataque. Mas, vou ficar monitorando.
Tenho fé que isso possa resolver, pois reinstalar tudo vai dar um baita trabalho.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
---- Ativado Ter, 25 jun 2019 20:02:28 -0300 Eduardo Maes <dudu...@gmail.com> escreveu ----
> Você recebeu essa mensagem porque está inscrito no grupo "Grupo de Usuarios Linux de Santa Catarina" dos Grupos do Google.
> Para mais opções, acesse https://groups.google.com/d/optout.
Desde já, obrigado por responder.
To seguindo a sugestão de um outro colega que é a seguinte:
Removi os arquivos, subi o backup (código limpo) e removi as permissões de escrita dos arquivos.
Fiz isso hoje de manhã.
Até agora, nem sinal do ataque. Mas, vou ficar monitorando.
Tenho fé que isso possa resolver, pois reinstalar tudo vai dar um baita trabalho.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
> Fala Henrique, tudo bem?
> Penso em duas possibilidades:
> 1) versão atual do Drupal vulnerável ou anterior que permitiu subir um backdoor;2) servidor compartilhado com aplicações vulneráveis de outras contas e escalação de privilégio, permitindo edição dos seus arquivos.
> O cenário ideal seria reinstalar do zero, inclusive o sistema operacional/imagem (caso haja a possibilidade), uma vez que não tem como saber o que tudo pode ter sido comprometido.
> Como medida paliativa, caso não seja possível reinstalar tudo, sugiro começar com a instalação do Sucuri plug-in, que acredito ter para Drupal, e estudar a remoção de malware para essa plataforma. No blog da Sucuri deve ter esse tipo de material também.
> Abraço.
>
> On Tue, Jun 25, 2019, 17:12 Henrique Fagundes <sup...@aprendendolinux.com> wrote:
>
> --
> Penso em duas possibilidades:
> 1) versão atual do Drupal vulnerável ou anterior que permitiu subir um backdoor;2) servidor compartilhado com aplicações vulneráveis de outras contas e escalação de privilégio, permitindo edição dos seus arquivos.
> O cenário ideal seria reinstalar do zero, inclusive o sistema operacional/imagem (caso haja a possibilidade), uma vez que não tem como saber o que tudo pode ter sido comprometido.
> Como medida paliativa, caso não seja possível reinstalar tudo, sugiro começar com a instalação do Sucuri plug-in, que acredito ter para Drupal, e estudar a remoção de malware para essa plataforma. No blog da Sucuri deve ter esse tipo de material também.
> Abraço.
>
> On Tue, Jun 25, 2019, 17:12 Henrique Fagundes <sup...@aprendendolinux.com> wrote:
>
> Você recebeu essa mensagem porque está inscrito no grupo "Grupo de Usuarios Linux de Santa Catarina" dos Grupos do Google.
> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para sc-linux+u...@googlegroups.com.
> Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/sc-linux/CAF2-q9tpkWcvmPfqyvxa2VS%3D%3DqArqmo3heHbOva6jHLjcH_%3DAQ%40mail.gmail.com.
> Para mais opções, acesse https://groups.google.com/d/optout.
Reply all
Reply to author
Forward
0 new messages