Site Com Conteúdo Suspeito (Hacker)

[PauloNichio]

Olá boa noite;

 

Sempre faço uma análise em todas as contas do servidor após a ativação, e uma conta que foi ativada ontem, ao verificar o conteúdo do site me deparo com a seguinte página:

 

 

Borrei algumas partes e inclusive o nome do script por motivos de segurança para que outras pessoas (que não conheçam isto) nem venham a conhecer.

Pois bem, analisando pasta por pasta encontrei uma cheio de arquivos .txt e para meu espanto estava lá uma copia dos arquivos config.php do WordPress de todas as contas do servidor.

Minha primeira reação ao ver isto, foi suspender imediatamente a conta e trocar a senha de algumas contas, porém precisaria saber de uma solução para evitar que isto funcione.

 

Segui as dicas deste post do nosso amigo donruan http://blog.totals.com.br/?p=120 e desativei algumas funções do PHP (que na hora que tirei o print da tela não havia nenhuma função desativada)

Mas o que poderia estar fazendo para que este script não funcione mais.

 

Seria habilitar ou desabilitar alguma função no firewall, no PHP?

 

Obrigado e um feliz 2014!

[chuvadenovembro]

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.

[Visitante]

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.

[inacioand]

Eu suspenderia e contactaria o responsável.

[Mr Bomber]

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...

[PauloNichio]

Amigo,

Acho que você precisa contratar alguém para endurecer a configuração do seu servidor.

E supondo que esteja usando fast cgi pra hospedagem compartilhada poderia considerar suphp por ser mais seguro...mesmo asssim, são varios detalhes que precisam ser feitos para melhorar a segurança do servidor.

E recomendo que mantenha backup das contas desse servidor em um servidor externo.

 

Obrigado pelas dicas... Estranho que utilizo o SuPHP porém neste script aparece que utilizo o FastCGI... estranho hehe

[PauloNichio]

Amigo se eu fosse você eu desativaria esse site, Esse Script ai e utilizado para comandar maquinas zumbi para fazer o tradicional ataque DDos. Entre varias outras coisas que da pra fazer por ele. 

 

 

Eu suspenderia e contactaria o responsável.

 

Sim, sim, eu imediatamente suspendi a conta e entrei em contato com o dono da revenda... Enfim, vamos ver a resposta do cliente.

[PauloNichio]

É uma shell. Utilizando CageFS, Openbase_dir, e desabilitando algumas funções como sockets, shell_exec, etc iria resolver o problema.

 

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

é uma shell...

problema é saber se o cara subiu isso pra usar no seu servidor, ou foi atacado, e alguem inseriu.

Ainda tem que saber se nao foi outra conta de hospedagem no seu servidor que estava vull, e ai subiram esta shell justamente na pasta home desse user..

 

tem que investigar e refinar, antes de sair apontando pra todo lado, porque caso seja essa ultima opcao que descrevi há pouco, provavelmente vai acontecer de novo...

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

[Visitante]

Erick, eu fiz isto, desabilitei os sockets na compilação do apache como você sugeriu, e desativei várias funções no PHP seguindo o tópico que forneci no começo da postagem, vamos ver se agora pelo menos melhora a segurança. (a única coisa que não fiz foi utilizar o CageFS) - Obrigado pelas dicas!

 

 

 

Mr Bomber, creio que o cara subiu os arquivos, pois como é uma revenda, o responsável pela revenda criou esta conta de madrugada e logo após os arquivos foram enviados normalmente via FTP.

 

 

Eu desativei as seguintes funções:

 

symlink,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd, exec. shell_exec, sockets

 

E também, open_basedir ativado, 

 

Esqueci de avisar... Existe regras para o ModSecurity para efetuar bloqueios de shells c99, etc. Irei procurar, caso eu encontre, lhe informo aqui.

[Barboza]

Perigo!