Ir para conteúdo
  • Cadastre-se

Invasão - Symlink

diogovasconcellos

Por diogovasconcellos
em Segurança

 Compartilhar

Posts Recomendados

diogovasconcellos

diogovasconcellos

Postado
Postado

Olá Pessoal!

 

Sou antigo frequentador do forumcpanel e em busca de ajuda acabo de conhecer vocês.

Fiquei muito surpreso com o forum que certamente irei acompanhar de agora em diante.

 

Vamos lá:

No domingo os sites hospedados em nosso servidor tiveram a index modificada. Foi injetado uma index.php.

Hoje encontrei uma conta cujo ftp exibia link para todos os sites hospedados no servidor.
Segundo meu datacenter uma invasão com symlink - por acaso foi aberto um tópico sobre o assunto hoje: http://portaldohost.com.br/forum/index.php?showtopic=11725.

 

Qual a sugestão de vocês?

rodo clamav e removo os arquivos infectados? só isso basta?

 

Link para o comentário
Compartilhar em outros sites
Jordan Miguel

Jordan Miguel

Postado
Postado

O datacenter sempre recomenda fazer backup das contas, formatar o servidor, reinstalar tudo, configurar novamente e restaurá-los. Mas de primeira via, você pode apenas passar o ClamAV + o Maldet removendo os arquivos infectados, adicionar a restrição de funções perigosas no php + configurar o mod_security e ainda configurar o apache na opção FollowSymLinks para none, que deve resolver.

 

Algumas funções interessantes para bloquear no php.ini:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

1
Link para o comentário
Compartilhar em outros sites
Marco Antonio

Marco Antonio

Postado
Postado

Olá Jordan!

 

Muito obrigado pelas dicas.

Já estou rodando o clamav.

 

Em sua opinião é valido deixar o clamav na contrab para remover virus automaticamente (clamscan -r --remove /home)?

Esse scaneamento automatico causaria algum transtorno (ex: remover arquivo errado, deixar servidor lento..) ?

 

O ideial seria criar uma pasta quarentena e enviar para ela os arquivos acusados, para evitar transtornos

Link para o comentário
Compartilhar em outros sites
Marco Antonio

Marco Antonio

Postado
Postado

Olá Pessoal,

 

Gostaria de uma ajuda/consultoria para resolver esse problema.

 

Preciso que removam possiveis trojans/virus e que façam devida segurança para que o mesmo não ocorra novamente.

 

Vocês poderiam indicar alguem de confiança que trabalhe assim?

 

O ideal seria que o senhor contrata-se uma empresa que gerencie seu servidor, pois alem deste tipo de configuração existem outras, como melhoras de performance etc.

 

de uma olhada nos classificados do fórum, geralmente empresas que vendem VPS e Dedicados, oferecem serviço de gerenciamento

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept