Jump to content

Invasão - Symlink


diogovasconcellos
 Share

Recommended Posts

Olá Pessoal!

 

Sou antigo frequentador do forumcpanel e em busca de ajuda acabo de conhecer vocês.

Fiquei muito surpreso com o forum que certamente irei acompanhar de agora em diante.

 

Vamos lá:

No domingo os sites hospedados em nosso servidor tiveram a index modificada. Foi injetado uma index.php.

Hoje encontrei uma conta cujo ftp exibia link para todos os sites hospedados no servidor.
Segundo meu datacenter uma invasão com symlink - por acaso foi aberto um tópico sobre o assunto hoje: http://portaldohost.com.br/forum/index.php?showtopic=11725.

 

Qual a sugestão de vocês?

rodo clamav e removo os arquivos infectados? só isso basta?

 

Link to comment
Share on other sites

O datacenter sempre recomenda fazer backup das contas, formatar o servidor, reinstalar tudo, configurar novamente e restaurá-los. Mas de primeira via, você pode apenas passar o ClamAV + o Maldet removendo os arquivos infectados, adicionar a restrição de funções perigosas no php + configurar o mod_security e ainda configurar o apache na opção FollowSymLinks para none, que deve resolver.

 

Algumas funções interessantes para bloquear no php.ini:

symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Link to comment
Share on other sites

Olá Jordan!

 

Muito obrigado pelas dicas.

Já estou rodando o clamav.

 

Em sua opinião é valido deixar o clamav na contrab para remover virus automaticamente (clamscan -r --remove /home)?

Esse scaneamento automatico causaria algum transtorno (ex: remover arquivo errado, deixar servidor lento..) ?

Link to comment
Share on other sites

Olá Jordan!

 

Muito obrigado pelas dicas.

Já estou rodando o clamav.

 

Em sua opinião é valido deixar o clamav na contrab para remover virus automaticamente (clamscan -r --remove /home)?

Esse scaneamento automatico causaria algum transtorno (ex: remover arquivo errado, deixar servidor lento..) ?

 

O ideial seria criar uma pasta quarentena e enviar para ela os arquivos acusados, para evitar transtornos

Link to comment
Share on other sites

Olá Pessoal,

 

Gostaria de uma ajuda/consultoria para resolver esse problema.

 

Preciso que removam possiveis trojans/virus e que façam devida segurança para que o mesmo não ocorra novamente.

 

Vocês poderiam indicar alguem de confiança que trabalhe assim?

 

O ideal seria que o senhor contrata-se uma empresa que gerencie seu servidor, pois alem deste tipo de configuração existem outras, como melhoras de performance etc.

 

de uma olhada nos classificados do fórum, geralmente empresas que vendem VPS e Dedicados, oferecem serviço de gerenciamento

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...