Meu WHMCS está atualizado não adianta trocar a senha eles enviam os arquivos sem acessar o painel da hospedagem.

Estava vendo algo relacionado neste topico más não sei realizar este bloqueio "symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,"

Faça os procedimentos desses links:

 

1º Passo:

http://blog.totals.com.br/disable_functions-php/

 

2º Passo:

http://blog.totals.com.br/desativar-php-ini-customizado-em-servidores-cpanel/

 

3º Passo (Instale o Comodo WAF):

https://waf.comodo.com/

Pra tanta dor de cabeça sugiro um serviço de hora técnica ou gerenciamento.

 

Mas li muita besteira aqui no tópico. O que o @MyWay Hosting falou por exemplo está muito errado. A menos que você tenha dado permissão de root na pasta de algum usuário dentro do /home (e o script já estava lá dentro), subir um script php com exec liberado não afetaria nada no servidor, o usuário só ia conseguir mexer dentro da pasta dele.

 

Pra esse tipo de ataque, ou todos os domínios afetados utilizam o mesmo sistema, e este tem uma falha, ou o atacante tem acesso ao teu servidor mesmo. 

 

Verifique se teu FTP está configurado com as melhores configurações possível, não permitindo login anônimo por exemplo.

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

Assino embaixo e concordo totalmente com você.

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

 

 

Qual o problema de vc usar o suphp ?

 

Qual dificuldade vc passa após mudar para esta compilação ?

 

Abraços 

Conseguiu rever permissões de arquivos? Tem um aplicativo no Kali Linux que faz uma bateria de teste nos servidores. Muito bom você testar.

Tem alguns dias que este topico não tem atualização, mas se ainda continuar com problema tente isso

 

 

 

for i in `ls /var/cpanel/users/`; do chown -R $i:$i /home/$i/public_html ; done

e 

find /home/*/public_html -type f -exec chmod 644 {} \;

find /home/*/public_html -type d -exec chmod 755 {} \; 

e ativa o suphp.

Os outros handlers tem muitas maneiras de invasao graças as permissões que eles dao

Ative o open basedir no cpanel

coloque isso no disable functions no php

 

apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

 

execute 

 

/scripts/securetmp

 

Instale o maldet e o CXS .

 

Ainda existe mais coisas a fazer como verificar se não criou algum usuário com permissão ou algo semelhante.

 

Essas serias umas das primeiras etapas a realizar um check up no servidor.

Mas uma vez invadido recomendo:

• Fazer backup das contas
• Formatar a maquina
• Instalar o software tals
• Instalar o cloudlinux(ele é muito bom, além do seu isolamento, e optimização e segurança)
• instalar o csf, mod_security mais acho que ele ja vem instalado no cpanel agora, se não me engano
• Instalar o clam, o maldet, o cxs
• Depois de instalar o csf, segue com as recomendações que da, para deixa seu servidor seguro, em check server no csf
• Definir disable functions no php 

•  

   

  apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

   
• instalar o root kit, uma boa opção para instalar é o whmxtra, tem uma sessão de aplicativos de segurança que deve ser instaladas.

Esses são os pre-requisitos, existe outros claro, mas são mais avançados.

Mas lembre-se que somente com isso, seu servidor não estará completamente seguro, pois precisa realiza várias outras configurações avançadas e realizar checagem do servidor a todo momento.

Vc viu o basico se não tem nenhum usuário com UID de root? no arquivo passwd?

 

as vezes o cara usou uma falha entrou criou um usuário root e ta fazendo a festa e vc se preocupando com outras coisas!