PauloNichio Postado Dezembro 29, 2013 Compartilhar Postado Dezembro 29, 2013 Olá boa noite; Sempre faço uma análise em todas as contas do servidor após a ativação, e uma conta que foi ativada ontem, ao verificar o conteúdo do site me deparo com a seguinte página: Borrei algumas partes e inclusive o nome do script por motivos de segurança para que outras pessoas (que não conheçam isto) nem venham a conhecer. Pois bem, analisando pasta por pasta encontrei uma cheio de arquivos .txt e para meu espanto estava lá uma copia dos arquivos config.php do WordPress de todas as contas do servidor. Minha primeira reação ao ver isto, foi suspender imediatamente a conta e trocar a senha de algumas contas, porém precisaria saber de uma solução para evitar que isto funcione. Segui as dicas deste post do nosso amigo donruan http://blog.totals.com.br/?p=120 e desativei algumas funções do PHP (que na hora que tirei o print da tela não havia nenhuma função desativada) Mas o que poderia estar fazendo para que este script não funcione mais. Seria habilitar ou desabilitar alguma função no firewall, no PHP? Obrigado e um feliz 2014! Link para o comentário Compartilhar em outros sites More sharing options...
chuvadenovembro Postado Dezembro 29, 2013 Compartilhar Postado Dezembro 29, 2013 Amigo, Acho que você precisa contratar alguém para endurecer a configuração do seu servidor. E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor. E recomendo que mantenha backup das contas desse servidor em um servidor externo. █ AtarWeb.com.br • Hospedagem de Site + SSL Grátis █ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis Link para o comentário Compartilhar em outros sites More sharing options...
Visitante Postado Dezembro 29, 2013 Compartilhar Postado Dezembro 29, 2013 É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema. Link para o comentário Compartilhar em outros sites More sharing options...
inacioand Postado Dezembro 29, 2013 Compartilhar Postado Dezembro 29, 2013 Eu suspenderia e contactaria o responsável. Link para o comentário Compartilhar em outros sites More sharing options...
Mr Bomber Postado Dezembro 29, 2013 Compartilhar Postado Dezembro 29, 2013 é uma shell... problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu. Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user.. tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo... Link para o comentário Compartilhar em outros sites More sharing options...
PauloNichio Postado Dezembro 30, 2013 Autor Compartilhar Postado Dezembro 30, 2013 Em 29/12/2013 em 04:57, chuvadenovembro disse: Amigo, Acho que você precisa contratar alguém para endurecer a configuração do seu servidor. E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor. E recomendo que mantenha backup das contas desse servidor em um servidor externo. Obrigado pelas dicas... Estranho que utilizo o SuPHP porém neste script aparece que utilizo o FastCGI... estranho hehe Link para o comentário Compartilhar em outros sites More sharing options...
PauloNichio Postado Dezembro 30, 2013 Autor Compartilhar Postado Dezembro 30, 2013 Em 29/12/2013 em 11:01, FelipeP disse: Amigo se eu fosse você eu desativaria esse site, Esse Script ai e utilizado para comandar maquinas zumbi para fazer o tradicional ataque DDos. Entre varias outras coisas que da pra fazer por ele. Em 29/12/2013 em 12:42, inacioand disse: Eu suspenderia e contactaria o responsável. Sim, sim, eu imediatamente suspendi a conta e entrei em contato com o dono da revenda... Enfim, vamos ver a resposta do cliente. Link para o comentário Compartilhar em outros sites More sharing options...
PauloNichio Postado Dezembro 30, 2013 Autor Compartilhar Postado Dezembro 30, 2013 Em 29/12/2013 em 12:10, Erick disse: É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema. Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas! Em 29/12/2013 em 14:28, Mr Bomber disse: é uma shell... problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu. Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user.. tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo... Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP. Link para o comentário Compartilhar em outros sites More sharing options...
Visitante Postado Dezembro 30, 2013 Compartilhar Postado Dezembro 30, 2013 Em 30/12/2013 em 11:04, PauloNichio disse: Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas! Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP. Eu desativei as seguintes funções: symlink,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd, exec. shell_exec, sockets E também, open_basedir ativado, Esqueci de avisar... Existe regras para o ModSecurity para efetuar bloqueios de shells c99, etc. Irei procurar, caso eu encontre, lhe informo aqui. Link para o comentário Compartilhar em outros sites More sharing options...
Barboza Postado Dezembro 30, 2013 Compartilhar Postado Dezembro 30, 2013 Perigo! Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados