Ir para conteúdo
  • Cadastre-se

Invasão - Symlink


diogovasconcellos

Posts Recomendados

Olá Pessoal!

 

Sou antigo frequentador do forumcpanel e em busca de ajuda acabo de conhecer vocês.

Fiquei muito surpreso com o forum que certamente irei acompanhar de agora em diante.

 

Vamos lá:

No domingo os sites hospedados em nosso servidor tiveram a index modificada. Foi injetado uma index.php.

Hoje encontrei uma conta cujo ftp exibia link para todos os sites hospedados no servidor.
Segundo meu datacenter uma invasão com symlink - por acaso foi aberto um tópico sobre o assunto hoje: http://portaldohost.com.br/forum/index.php?showtopic=11725.

 

Qual a sugestão de vocês?

rodo clamav e removo os arquivos infectados? só isso basta?

 

Link para o comentário
Compartilhar em outros sites

O datacenter sempre recomenda fazer backup das contas, formatar o servidor, reinstalar tudo, configurar novamente e restaurá-los. Mas de primeira via, você pode apenas passar o ClamAV + o Maldet removendo os arquivos infectados, adicionar a restrição de funções perigosas no php + configurar o mod_security e ainda configurar o apache na opção FollowSymLinks para none, que deve resolver.

 

Algumas funções interessantes para bloquear no php.ini:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Link para o comentário
Compartilhar em outros sites

Olá Jordan!

 

Muito obrigado pelas dicas.

Já estou rodando o clamav.

 

Em sua opinião é valido deixar o clamav na contrab para remover virus automaticamente (clamscan -r --remove /home)?

Esse scaneamento automatico causaria algum transtorno (ex: remover arquivo errado, deixar servidor lento..) ?

 

O ideial seria criar uma pasta quarentena e enviar para ela os arquivos acusados, para evitar transtornos

Link para o comentário
Compartilhar em outros sites

Olá Pessoal,

 

Gostaria de uma ajuda/consultoria para resolver esse problema.

 

Preciso que removam possiveis trojans/virus e que façam devida segurança para que o mesmo não ocorra novamente.

 

Vocês poderiam indicar alguem de confiança que trabalhe assim?

 

O ideal seria que o senhor contrata-se uma empresa que gerencie seu servidor, pois alem deste tipo de configuração existem outras, como melhoras de performance etc.

 

de uma olhada nos classificados do fórum, geralmente empresas que vendem VPS e Dedicados, oferecem serviço de gerenciamento

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.
  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?