Ir para conteúdo
  • Cadastre-se

Estão invadindo dominios da minha hospedagem

Tavinlol

Por Tavinlol
em Hospedagem compartilhada

 Compartilhar

Posts Recomendados

Tavinlol

Tavinlol

Postado
  • Autor
Postado

Meu WHMCS está atualizado não adianta trocar a senha eles enviam os arquivos sem acessar o painel da hospedagem.

Estava vendo algo relacionado neste topico más não sei realizar este bloqueio "symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,"

0

Pedro Sodre

Pedro Sodre

Postado
Postado

Pra tanta dor de cabeça sugiro um serviço de hora técnica ou gerenciamento.

 

Mas li muita besteira aqui no tópico. O que o @MyWay Hosting falou por exemplo está muito errado. A menos que você tenha dado permissão de root na pasta de algum usuário dentro do /home (e o script já estava lá dentro), subir um script php com exec liberado não afetaria nada no servidor, o usuário só ia conseguir mexer dentro da pasta dele.

 

Pra esse tipo de ataque, ou todos os domínios afetados utilizam o mesmo sistema, e este tem uma falha, ou o atacante tem acesso ao teu servidor mesmo. 

 

Verifique se teu FTP está configurado com as melhores configurações possível, não permitindo login anônimo por exemplo.

0
Tavinlol

Tavinlol

Postado
  • Autor
Postado

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

1
dinosn

dinosn

Postado
Postado

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

0
Steam

Steam

Postado
Postado

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

Assino embaixo e concordo totalmente com você.

0
MyWay Hosting

MyWay Hosting

Postado
Postado

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

 

 

Qual o problema de vc usar o suphp ?

 

Qual dificuldade vc passa após mudar para esta compilação ?

 

Abraços 

0
Hospedagem Real

Hospedagem Real

Postado
Postado

Tem alguns dias que este topico não tem atualização, mas se ainda continuar com problema tente isso

 

 

 

for i in `ls /var/cpanel/users/`; do chown -R $i:$i /home/$i/public_html ; done

find /home/*/public_html -type f -exec chmod 644 {} \;
find /home/*/public_html -type d -exec chmod 755 {} \; 
e ativa o suphp.
Os outros handlers tem muitas maneiras de invasao graças as permissões que eles dao

Ative o open basedir no cpanel

coloque isso no disable functions no php

 

apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

 

execute 

 

/scripts/securetmp

 

Instale o maldet e o CXS .

 

Ainda existe mais coisas a fazer como verificar se não criou algum usuário com permissão ou algo semelhante.

 

Essas serias umas das primeiras etapas a realizar um check up no servidor.

Mas uma vez invadido recomendo:

  • Fazer backup das contas
  • Formatar a maquina
  • Instalar o software tals
  • Instalar o cloudlinux(ele é muito bom, além do seu isolamento, e optimização e segurança)
  • instalar o csf, mod_security mais acho que ele ja vem instalado no cpanel agora, se não me engano
  • Instalar o clam, o maldet, o cxs
  • Depois de instalar o csf, segue com as recomendações que da, para deixa seu servidor seguro, em check server no csf
  • Definir disable functions no php 

  •  

     

    apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode
     
  • instalar o root kit, uma boa opção para instalar é o whmxtra, tem uma sessão de aplicativos de segurança que deve ser instaladas.

Esses são os pre-requisitos, existe outros claro, mas são mais avançados.

Mas lembre-se que somente com isso, seu servidor não estará completamente seguro, pois precisa realiza várias outras configurações avançadas e realizar checagem do servidor a todo momento.

0
shw

shw

Postado
Postado

Vc viu o basico se não tem nenhum usuário com UID de root? no arquivo passwd?

 

as vezes o cara usou uma falha entrou criou um usuário root e ta fazendo a festa e vc se preocupando com outras coisas!

0

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept
-