Estão invadindo dominios da minha hospedagem

[Tavinlol]

Meu WHMCS está atualizado não adianta trocar a senha eles enviam os arquivos sem acessar o painel da hospedagem.

Estava vendo algo relacionado neste topico más não sei realizar este bloqueio "symlink,show_source,apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode,"

[Andre Juliano]

Faça os procedimentos desses links:

 

1º Passo:

http://blog.totals.com.br/disable_functions-php/

 

2º Passo:

http://blog.totals.com.br/desativar-php-ini-customizado-em-servidores-cpanel/

 

3º Passo (Instale o Comodo WAF):

https://waf.comodo.com/

[Pedro Sodre]

Pra tanta dor de cabeça sugiro um serviço de hora técnica ou gerenciamento.

 

Mas li muita besteira aqui no tópico. O que o @MyWay Hosting falou por exemplo está muito errado. A menos que você tenha dado permissão de root na pasta de algum usuário dentro do /home (e o script já estava lá dentro), subir um script php com exec liberado não afetaria nada no servidor, o usuário só ia conseguir mexer dentro da pasta dele.

 

Pra esse tipo de ataque, ou todos os domínios afetados utilizam o mesmo sistema, e este tem uma falha, ou o atacante tem acesso ao teu servidor mesmo. 

 

Verifique se teu FTP está configurado com as melhores configurações possível, não permitindo login anônimo por exemplo.

[Tavinlol]

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

[dinosn]

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

[Steam]

Isso não adianta. Seu servidor foi comprometido e talvez nem haja solução mais, e o indicado seria um novo servidor. Mas se não tem conhecimentos técnicos avançados e não quer pagar um gerenciamento eficiente, boa sorte nessa empreitada.

Assino embaixo e concordo totalmente com você.

[MyWay Hosting]

Eu consegui bloquear as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

 

Esta ajudando bastante até agora nenhum site de phishing

 

 

Qual o problema de vc usar o suphp ?

 

Qual dificuldade vc passa após mudar para esta compilação ?

 

Abraços 

[dolar_rsb]

Conseguiu rever permissões de arquivos? Tem um aplicativo no Kali Linux que faz uma bateria de teste nos servidores. Muito bom você testar.

[Hospedagem Real]

Tem alguns dias que este topico não tem atualização, mas se ainda continuar com problema tente isso

 

 

 

for i in `ls /var/cpanel/users/`; do chown -R $i:$i /home/$i/public_html ; done

e 

find /home/*/public_html -type f -exec chmod 644 {} \;

find /home/*/public_html -type d -exec chmod 755 {} \; 

e ativa o suphp.

Os outros handlers tem muitas maneiras de invasao graças as permissões que eles dao

Ative o open basedir no cpanel

coloque isso no disable functions no php

 

apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

 

execute 

 

/scripts/securetmp

 

Instale o maldet e o CXS .

 

Ainda existe mais coisas a fazer como verificar se não criou algum usuário com permissão ou algo semelhante.

 

Essas serias umas das primeiras etapas a realizar um check up no servidor.

Mas uma vez invadido recomendo:

• Fazer backup das contas
• Formatar a maquina
• Instalar o software tals
• Instalar o cloudlinux(ele é muito bom, além do seu isolamento, e optimização e segurança)
• instalar o csf, mod_security mais acho que ele ja vem instalado no cpanel agora, se não me engano
• Instalar o clam, o maldet, o cxs
• Depois de instalar o csf, segue com as recomendações que da, para deixa seu servidor seguro, em check server no csf
• Definir disable functions no php 

•  

   

  apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

   
• instalar o root kit, uma boa opção para instalar é o whmxtra, tem uma sessão de aplicativos de segurança que deve ser instaladas.

Esses são os pre-requisitos, existe outros claro, mas são mais avançados.

Mas lembre-se que somente com isso, seu servidor não estará completamente seguro, pois precisa realiza várias outras configurações avançadas e realizar checagem do servidor a todo momento.

[shw]

Vc viu o basico se não tem nenhum usuário com UID de root? no arquivo passwd?

 

as vezes o cara usou uma falha entrou criou um usuário root e ta fazendo a festa e vc se preocupando com outras coisas!