Invasão De Sites Wordpress

[daemoncesar]

Galera, muitos sites wordpress estão sendo invadidos, e fazem uploads, de arquivos shell.php.

 

Como faço para impedir isso no servidor, lembro que encontrei um post onde tinha um bloqueador em tempo real de malware (pago) mas não lembro mais o nome.

 

Existe alguma forma de bloquear estes uploads no servidor ?

[Jaime Silva]

• ConfigServer eXploit Scanner
• Extensão Mod Security do Apache

[daemoncesar]

levei um susto passei o chkrootkit e mostrou isso:

 

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

 

Mas procurando no google encontrei que é um falso-positivo do chkrookit, vou passar o rkrounter para garantir.

Vou ser obrigado a comprar este ConfigServer exploit Scanner

[daemoncesar]

Tem alguns WARNING mas acredito que não pegaram root no sistema...

 

segue os logs: http://192.227.252.41/rkhunter

 

Alguém pode passar o rkhunter e verificar se aparece os mesmos warning ?

[Visitante]

1. Desabilita o acesso root por SSH

2. Desabilita as seguintes funções no Apache/PHP: apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code,, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode, symlink, exec

 

Eu desabilitei as funções citadas acima (hospedo websites WordPress, Joomla, etc.. e não tenho nenhum problema). Após ter essas funções desativadas será dificultado 80% das funções das famosas "web shell" na qual não terá acesso ao tentar ver, modificar, criar ou remover quaisquer arquivo.

 

Sugiro que verifique os usuários que estão no grupo root, ou que tenham acesso ao SSH. 

[daemoncesar]

instalei o eXploit Scanner, tenho medo de desabilitar funções para não dar um impacto muito forte no servidor (parar sites etc...).

Desabilitando os programas que fazem download tb é uma boa saída, porém o cpanel precisa deles para atualizar todos os dias.
 

[daemoncesar]

mesmo com exploit scanner conseguiram fazer upload de arquivos binários para tentar pegar privilégio de root.

[Jaime Silva]

Evite que usuários ganhem privilégios de root.

1. Desative o uso de compiladores por parte de usuário comuns: Security Center » Compiler Access
2. E claro, mantenha seu sistema atualizado.

[daemoncesar]

já está desativado, mas eles fazem download de programas compilados e só executam.

Sistema totalmente atualizado, desabilitei as funções acima.

 

Deve ter cerca de 20 sites wordpress desatualizado que vou ser obrigado a congelar a conta.

[daemoncesar]

Alguém tem uma regra para o modsecurity que barra este problema do wordpress,joomla etc...