Olá boa noite;

 

Sempre faço uma análise em todas as contas do servidor após a ativação, e uma conta que foi ativada ontem, ao verificar o conteúdo do site me deparo com a seguinte página:

 

 

Borrei algumas partes e inclusive o nome do script por motivos de segurança para que outras pessoas (que não conheçam isto) nem venham a conhecer.

Pois bem, analisando pasta por pasta encontrei uma cheio de arquivos .txt e para meu espanto estava lá uma copia dos arquivos config.php do WordPress de todas as contas do servidor.

Minha primeira reação ao ver isto, foi suspender imediatamente a conta e trocar a senha de algumas contas, porém precisaria saber de uma solução para evitar que isto funcione.

 

Segui as dicas deste post do nosso amigo donruan http://blog.totals.com.br/?p=120 e desativei algumas funções do PHP (que na hora que tirei o print da tela não havia nenhuma função desativada)

Mas o que poderia estar fazendo para que este script não funcione mais.

 

Seria habilitar ou desabilitar alguma função no firewall, no PHP?

 

Obrigado e um feliz 2014!

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.

Eu suspenderia e contactaria o responsável.

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.

 

Obrigado pelas dicas... Estranho que utilizo o SuPHP porém neste script aparece que utilizo o FastCGI... estranho hehe

Amigo se eu fosse você eu desativaria esse site, Esse Script ai e utilizado para comandar maquinas zumbi para fazer o tradicional ataque DDos. Entre varias outras coisas que da pra fazer por ele. 

 

 

Eu suspenderia e contactaria o responsável.

 

Sim, sim, eu imediatamente suspendi a conta e entrei em contato com o dono da revenda... Enfim, vamos ver a resposta do cliente.

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.

 

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

 

 

Eu desativei as seguintes funções:

 

symlink,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd, exec. shell_exec, sockets

 

E também, open_basedir ativado, 

 

Esqueci de avisar... Existe regras para o ModSecurity para efetuar bloqueios de shells c99, etc. Irei procurar, caso eu encontre, lhe informo aqui.

Perigo!