Infelizmente o Ksplica não tem mais como utilizar :/.

Segue um script que faz uma varredura por um arquivo de PHP Shell no servidor:

#!/bin/bash

#Scanning all users directory for various php shell

# Below command is one line so see that its one line in your script or else it will generate error


echo "No PHP Shell was Found" > /root/scan.txt

/bin/egrep "cgitelnet|webadmin|PHPShell|tryag|r57shell|c99shell|noexecshell|/etc/passwd|revengans|myshellexec" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt


/bin/cat /root/scan.txt | mail -s "PHP Shell Scan" [email="user@domain.com"]user@domain.com[/email]


#Replace your email address above


#Cron Settings

# 0 6 * * * PATH TO SCRIPT

Também, edite o arquivo /usr/local/lib/php.ini e acrescente as linhas:

disable_functions = "dl,exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,leak,

apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,shell-exec,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,php_uname,symlink,mkdir

,ini_restore,posix_getpwuid,error_log,print_r,scandir,copy,phpinfo,ini_set"

Isto irá remover algumas das extensões utilizadas para fazer deface.

Este site tem algumas informações sobre vunlerabilidades:

http://www.exploit-db.com/

Também, edite o arquivo /usr/local/lib/php.ini e acrescente as linhas:

disable_functions = "dl,exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,leak,

apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,shell-exec,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,php_uname,symlink,mkdir

,ini_restore,posix_getpwuid,error_log,print_r,scandir,copy,phpinfo,ini_set"

Isto irá remover algumas das extensões utilizadas para fazer deface.

Eu não recomendo desabilitar as seguintes phpinfo e mkdir. phpInfo jamais pode ser desabilitada, qualquer programador que usar alguma função que tem restrições ou pacotes adicionais vai usar a função. Mkdir também não pode uma vez que muitos scripts criam pastas para armazenar imagens por tamanho e/ou categoria.

Infelizmente o Ksplica não tem mais como utilizar :/.

Rodrigo, não entendi.. por que não?

Completando, liberei acesso ao server somente para EUA (atualização WHM e cPanel) e BR (eu). Os demais e mais problemáticos, Russia, Iraq, Iran e Cia, deixei tudo bloqueado.

Ajuda ou serve pra nada?

Editado Fevereiro 17, 2012 em 12:00 Fev 17, 2012 por matheus.almeida

Rodrigo, não entendi.. por que não?

Completando, liberei acesso ao server somente para EUA (atualização WHM e cPanel) e BR (eu). Os demais e mais problemáticos, Russia, Iraq, Iran e Cia, deixei tudo bloqueado.

Ajuda ou serve pra nada?

A Oracle comprou a ksplice.. agora só tem para FEDORA E Ubuntu Desktop, e, é claro, Oracle Linux.

Mesmo o Fedora sendo baseado no RHEL, não funciona, já testei.

Post feito com maturidade, do grande Duran, só acrescento mais 1 -> Disable Auth no WHM e (ANTES) crie chaves ssh para impedir babacas de acessarem SSH indevidamente após roubarem (por keyloggers) o root pass de sysadmins vacilões!

Nota 10 o artigo ;).

Quando irá postar as outras partes parceiro? :)

galera fiz os procedimentos acima so que depois de fazer estou recebendo constante o seguinte um Email com seguinte conteúdo

lfd failed @ Thu Mar 8 21:45:34 2012. A restart was attempted automagically. Service Check Method: [check command] Number of Restart Attempts: 10

alguém por favor pode me ajudar por favor .