Jump to content
Sign in to follow this  
PauloNichio

Site Com Conteúdo Suspeito (Hacker)

Recommended Posts

Olá boa noite;

 

Sempre faço uma análise em todas as contas do servidor após a ativação, e uma conta que foi ativada ontem, ao verificar o conteúdo do site me deparo com a seguinte página:

 

131229050851147000.png

 

Borrei algumas partes e inclusive o nome do script por motivos de segurança para que outras pessoas (que não conheçam isto) nem venham a conhecer.

Pois bem, analisando pasta por pasta encontrei uma cheio de arquivos .txt e para meu espanto estava lá uma copia dos arquivos config.php do WordPress de todas as contas do servidor.

Minha primeira reação ao ver isto, foi suspender imediatamente a conta e trocar a senha de algumas contas, porém precisaria saber de uma solução para evitar que isto funcione.

 

Segui as dicas deste post do nosso amigo donruan http://blog.totals.com.br/?p=120 e desativei algumas funções do PHP (que na hora que tirei o print da tela não havia nenhuma função desativada)

Mas o que poderia estar fazendo para que este script não funcione mais.

 

Seria habilitar ou desabilitar alguma função no firewall, no PHP?

 

Obrigado e um feliz 2014!

Share this post


Link to post
Share on other sites

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Share this post


Link to post
Share on other sites

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.


Huge Networks - Especialistas em DDoS Mitigation - AS264409
● Infraestrutura DDoS Mitigation 280+ Gbps. DDoS Mitigation remoto / local. Proteção DDoS via Proxy, GRE ou cross connect.

Share this post


Link to post
Share on other sites

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...


ConquistaWeb.Com

Twitter: @mrbomber - @conquistaweb

Share this post


Link to post
Share on other sites

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.

 

Obrigado pelas dicas... Estranho que utilizo o SuPHP porém neste script aparece que utilizo o FastCGI... estranho hehe

Share this post


Link to post
Share on other sites

Amigo se eu fosse você eu desativaria esse site, Esse Script ai e utilizado para comandar maquinas zumbi para fazer o tradicional ataque DDos. Entre varias outras coisas que da pra fazer por ele. 

 

 

Eu suspenderia e contactaria o responsável.

 

Sim, sim, eu imediatamente suspendi a conta e entrei em contato com o dono da revenda... Enfim, vamos ver a resposta do cliente.

Share this post


Link to post
Share on other sites

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.

 

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

Share this post


Link to post
Share on other sites

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

 

 

Eu desativei as seguintes funções:

 

symlink,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd, exec. shell_exec, sockets

 

E também, open_basedir ativado, 

 

Esqueci de avisar... Existe regras para o ModSecurity para efetuar bloqueios de shells c99, etc. Irei procurar, caso eu encontre, lhe informo aqui.


Huge Networks - Especialistas em DDoS Mitigation - AS264409
● Infraestrutura DDoS Mitigation 280+ Gbps. DDoS Mitigation remoto / local. Proteção DDoS via Proxy, GRE ou cross connect.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...