[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!
1 view
Skip to first unread message
Henrique Fagundes
Jun 25, 2019, 4:12:58 PM6/25/19
to vivao...@googlegroups.com
Prezado Colegas,
Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.
VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26
Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
Desabilitei essas funções:
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.
O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data
Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
Existe algo que eu possa fazer?
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
BRASIL acima de tudo, DEUS acima de todos!
Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.
VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26
Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
Desabilitei essas funções:
disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.
O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data
Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
Existe algo que eu possa fazer?
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
BRASIL acima de tudo, DEUS acima de todos!
Roger Pereira Boff
Jun 25, 2019, 5:04:42 PM6/25/19
to vivao...@googlegroups.com
Boa tarde Henrique, tudo bem?
Também já passamos por isso aqui na empresa, infelizmente temos um legado que usa PHP e que por acaso é o Drupal. Não consegui descobrir como era o ataques e para acabar com o problema foi bem simples, tirei a permissão de escrita de todo mundo na pasta do drupal, com exceção na pasta de upload.
Resolvi o problema com um simples "chmod a-w * -R" e depois dei permissão exclusivamente na pasta de UPLOAD. Depois disso nunca mais ocorreu nenhum problema.
Abraços
--
--
Viva o Linux - Porque nós amamos a Liberdade!
www.vivaolinux.com.br
---
Você está recebendo esta mensagem porque se inscreveu no grupo "Comunidade Viva o Linux" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para vivaolinux+...@googlegroups.com.
Para postar neste grupo, envie um e-mail para vivao...@googlegroups.com.
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/vivaolinux/20190625201243.hz3aeyek2vpyeuhl%40echelon.aprendendolinux.com.
Para obter mais opções, acesse https://groups.google.com/d/optout.
--
==============================================================================
Se você pretende repassar este e-mail, por favor, APAGUE todos os endereçosque aparecem nele antes de
enviar. Outra dica de segurança é encaminhar aos seus destinatários como CÓPIA OCULTA (Cco ou Bcc).
Agindo assim, você estará protegendo seus amigos e a você mesmo(a) da propagação de SPAMS e Vírus.
==============================================================================
Se você pretende repassar este e-mail, por favor, APAGUE todos os endereçosque aparecem nele antes de
enviar. Outra dica de segurança é encaminhar aos seus destinatários como CÓPIA OCULTA (Cco ou Bcc).
Agindo assim, você estará protegendo seus amigos e a você mesmo(a) da propagação de SPAMS e Vírus.
==============================================================================
Henrique Fagundes
Jun 25, 2019, 5:21:35 PM6/25/19
to vivaolinux, vivaolinux
Oi amigo,
Muito obrigado por responder.
Vou fazer isso agora!
No caso, a pasta de uploads é a pasta files.
No meu caso /var/www/html/sites/default/files
Espero que isso resolva.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
---- Ativado Ter, 25 jun 2019 18:03:56 -0300 Roger Pereira Boff <roge...@gmail.com> escreveu ----
> Você recebeu essa mensagem porque está inscrito no grupo "Comunidade Viva o Linux" dos Grupos do Google.
> Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/vivaolinux/CA%2B5FnUTi-4-XdxRhN_V3zwZj-sGpYdpuk_SiysOOqY2-jc446g%40mail.gmail.com.
> Para mais opções, acesse https://groups.google.com/d/optout.
Muito obrigado por responder.
Vou fazer isso agora!
No caso, a pasta de uploads é a pasta files.
No meu caso /var/www/html/sites/default/files
Espero que isso resolva.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para vivaolinux+...@googlegroups.com.
> Para postar nesse grupo, envie um e-mail para vivao...@googlegroups.com.
> Para ver essa discussão na Web, acesse https://groups.google.com/d/msgid/vivaolinux/CA%2B5FnUTi-4-XdxRhN_V3zwZj-sGpYdpuk_SiysOOqY2-jc446g%40mail.gmail.com.
> Para mais opções, acesse https://groups.google.com/d/optout.
Henrique Fagundes
Jul 4, 2019, 9:56:38 AM7/4/19
to vivaolinux
Prezados colegas, prezado Roger,
Tirei as permissões de escrita das pastas do Webserver com o comando "chmod a-w * -R" e NÃO resolveu o problema.
Precisei ser um pouco mais radical. Eu TRAVEI os diretórios e arquivo com o comando "chattr -R +i /var/www/html" e liberei apenas a pasta de UPLOAD.
Já estou no 5º dia sem indícios de ataque.
Em paralelo, tem um DEV trabalhando na migração do DRUPAL para um Wordpress.
Obrigado por ajudar.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
---- On Ter, 25 jun 2019 18:21:30 -0300 Henrique Fagundes <sup...@aprendendolinux.com> wrote ----
> Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/vivaolinux/16b9083e047.109cb8f77315014.3194788554480688193%40aprendendolinux.com.
Tirei as permissões de escrita das pastas do Webserver com o comando "chmod a-w * -R" e NÃO resolveu o problema.
Precisei ser um pouco mais radical. Eu TRAVEI os diretórios e arquivo com o comando "chattr -R +i /var/www/html" e liberei apenas a pasta de UPLOAD.
Já estou no 5º dia sem indícios de ataque.
Em paralelo, tem um DEV trabalhando na migração do DRUPAL para um Wordpress.
Obrigado por ajudar.
Atenciosamente,
Henrique Fagundes
Analista de Suporte Linux
sup...@aprendendolinux.com
Skype: magnata-br-rj
Linux User: 475399
https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux
Ou envie um e-mail para:
aprendendoli...@listas.aprendendolinux.com
Roger Pereira Boff
Jul 4, 2019, 11:28:48 AM7/4/19
to vivao...@googlegroups.com
Bom dia Henrique, tudo bem?
Esqueci desse pequeno detalhe, também travei o diretório contra escrita e deixei somente o de UPDLOAD. Peço desculpa por omitir esse pequeno (E bem grande) detalhe.
Sobre trocar para outra plataforma, já pensou em sair do PHP para outra linguagem?
Para ver esta discussão na web, acesse https://groups.google.com/d/msgid/vivaolinux/16bbd45b8ac.10c7a3e77227513.5548582443058343639%40aprendendolinux.com.
Para obter mais opções, acesse https://groups.google.com/d/optout.
--
Reply all
Reply to author
Forward
0 new messages