[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

[OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Henrique Fagundes-3
Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com 
https://www.facebook.com/AprendendoLinux 
https://youtube.com/AprendendoLinux 
https://twitter.com/AprendendoLinux 
https://t.me/AprendendoLinux 
https://t.me/GrupoAprendendoLinux 
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux 

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Rodolfo-17
O mais correto é você identificar por onde está entrando esse ataque, bem como verificar possíveis bugs/exploits nas tecnologias utilizadas, arrumar uma solução sem identificar o problema é o mesmo que dar um remédio pra dor de cabeça quando o problema é no coração.

Sugestões de pesquisa:

Exploits or backdoor on Apache 2.4.25
Exploits or backdoor on PHP 7.0.33
Exploits or backdoor on MysQL 5.7.26
SQL injection
Drupal backdoor

E por ai vai.

Boa sorte.


Em ter, 25 de jun de 2019 às 16:12, Henrique Fagundes <[hidden email]> escreveu:
Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

jmhenrique
In reply to this post by Henrique Fagundes-3
Ola!

Você disse ter *algumas* aplicações, entre elas um Drupal.

O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal.

No caso do Drupal, instalar o módulo  Security kit pode ser uma boa ideia, mas não garante que o problema seja resolvido, pois pode não ser dele o problema e sim de alguma de suas outras aplicações web que podem ter particularidades *interessantes*.

Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não o problema.

O ideal é descobrir a aplicação que não está preparada para lidar com a injeção de código e atualiza-la/conserta-la.

Abraços e divirta-se :)



--
Enviado do meu BlackBerry



          Mensagem Original  



De: [hidden email]
Enviados: 25 de junho de 2019 17:12
Para: [hidden email]
Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!


Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Guimarães Faria Corcete DUTRA, Leandro
Le mar. 25 juin 2019 à 19:03, <[hidden email]> a écrit :
>
> O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal.

Bom lembrar também que tanto PHP quanto MySQL são componentes de
qualidade relativamente baixa, e relativamente vulneráveis quando
comparados com aplicativos feitos com plataformas mais sólidas.  Uma
alternativa também trabalhosa é procurar livrar-se deles em favor de
alternativas como PostgreSQL, no caso do MySQL; no caso da combinação
PHP/MySQL, creio que talvez haja arcabouços do PHP que minoram o
problema, não lembro se era o caso do Pear.


--
skype:leandro.gfc.dutra?chat      Yahoo!: ymsgr:sendIM?lgcdutra
+55 (61) 3546 7191              gTalk: xmpp:[hidden email]
+55 (61) 9302 2691        ICQ/AIM: aim:GoIM?screenname=61287803
BRAZIL GMT−3  MSN: msnim:chat?contact=[hidden email]

Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Leandro Henrique Stein
In reply to this post by jmhenrique
Bom dia.

Já tive problema parecido com um Wordpress desatualizado com erro de permissão na pasta de upload.

O "vírus" inseria código codificado em base64 em todos os arquivos php da aplicação, fazendo com que a "reinfecção" fosse continua.

Consegui identificar o problema quando percebi alguns arquivos como index.php, page.php espalhados por outros níveis da árvore de diretórios, onde não deveriam estar.

Provavelmente você esteja sofrendo com algo equivalente. Indicaria inicialmente para remover a permissão de execução de arquivos PHP nos diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle melhor dos tipos de arquivos com permissão de upload.

Depois disso vai ser um trabalho de formiguinha para encontrarmos os includes realizados pelo "vírus" dentro das suas aplicações.

Você pode instalar uma nova aplicação chamariz, do zero, para ver se a infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao reaplicar as customizações você acaba trazendo o problema novamente.

Boa sorte.

Em ter, 25 de jun de 2019 19:03, <[hidden email]> escreveu:
Ola!

Você disse ter *algumas* aplicações, entre elas um Drupal.

O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal.

No caso do Drupal, instalar o módulo  Security kit pode ser uma boa ideia, mas não garante que o problema seja resolvido, pois pode não ser dele o problema e sim de alguma de suas outras aplicações web que podem ter particularidades *interessantes*.

Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não o problema.

O ideal é descobrir a aplicação que não está preparada para lidar com a injeção de código e atualiza-la/conserta-la.

Abraços e divirta-se :)



--
Enviado do meu BlackBerry



          Mensagem Original  



De: [hidden email]
Enviados: 25 de junho de 2019 17:12
Para: [hidden email]
Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!


Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

paulo bruck
Bom se a maquina foi infectada e vc não tem um sistema de IDS recomendo fortemente a reinstalação do zero, senão você nunca terá certeza se o sistema está limpo ou não......

Em qua, 26 de jun de 2019 às 10:55, Leandro Henrique Stein <[hidden email]> escreveu:
Bom dia.

Já tive problema parecido com um Wordpress desatualizado com erro de permissão na pasta de upload.

O "vírus" inseria código codificado em base64 em todos os arquivos php da aplicação, fazendo com que a "reinfecção" fosse continua.

Consegui identificar o problema quando percebi alguns arquivos como index.php, page.php espalhados por outros níveis da árvore de diretórios, onde não deveriam estar.

Provavelmente você esteja sofrendo com algo equivalente. Indicaria inicialmente para remover a permissão de execução de arquivos PHP nos diretórios "acessíveis" via url na sua aplicação Drupal e fazer um controle melhor dos tipos de arquivos com permissão de upload.

Depois disso vai ser um trabalho de formiguinha para encontrarmos os includes realizados pelo "vírus" dentro das suas aplicações.

Você pode instalar uma nova aplicação chamariz, do zero, para ver se a infecção acontece. Provavelmente suas aplicações já estão "infectadas" e ao reaplicar as customizações você acaba trazendo o problema novamente.

Boa sorte.

Em ter, 25 de jun de 2019 19:03, <[hidden email]> escreveu:
Ola!

Você disse ter *algumas* aplicações, entre elas um Drupal.

O ataque pode estar entrando por qualquer uma delas, **inclusive** pelo Drupal.

No caso do Drupal, instalar o módulo  Security kit pode ser uma boa ideia, mas não garante que o problema seja resolvido, pois pode não ser dele o problema e sim de alguma de suas outras aplicações web que podem ter particularidades *interessantes*.

Uma abordagem mais ampla do tipo *remendo* seria instalar o modsecurity do apache e configura-lo adequadamente. É trabalhoso, resolve a crise mas não o problema.

O ideal é descobrir a aplicação que não está preparada para lidar com a injeção de código e atualiza-la/conserta-la.

Abraços e divirta-se :)



--
Enviado do meu BlackBerry



          Mensagem Original  



De: [hidden email]
Enviados: 25 de junho de 2019 17:12
Para: [hidden email]
Assunto: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!


Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!




--
Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Sinval Júnior-2
In reply to this post by Henrique Fagundes-3

Qual a versão do Drupal? Provavelmente é algum bug. Drupral deve estar sempre muito bem atualizado e evitar utilização e plugins de terceiros, principalmente se foram "crackeados",  devido a backdoors.

Ao encaminhar esta mensagem, por favor:
1 - Apague meu endereço eletrônico;
2 - Encaminhe como Cópia Oculta (Cco ou BCc) aos seus destinatários. Dificulte assim a disseminação de vírus, spams e banners.

#=================================================================+
#!/usr/bin/env python
nome = 'Sinval Júnior'
email = 'sinvalju arroba gmail ponto com'
print nome
print email
#==================================================================+


Em ter, 25 de jun de 2019 às 17:12, Henrique Fagundes <[hidden email]> escreveu:
Prezado Colegas,

Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.

Possuo o seguinte cenário:
Servidor Linux com Apache, PHP e MySQL.

VERSÕES:
- Debian Stretch 9.9
- Apache 2.4.25
- PHP 7.0.33
- MysQL 5.7.26

Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.

Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?

Desabilitei essas funções:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file

Mesmo assim o problema persiste.
A ultima coisa que tentei foi "fechar" mais as permissões do apache.

O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
Grupo e usuário é o www-data

Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.

Existe algo que eu possa fazer?

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com
https://www.facebook.com/AprendendoLinux
https://youtube.com/AprendendoLinux
https://twitter.com/AprendendoLinux
https://t.me/AprendendoLinux
https://t.me/GrupoAprendendoLinux
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


Reply | Threaded
Open this post in threaded view
|

Re: [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Paulo Correia-2
In reply to this post by Henrique Fagundes-3
Henrique,

Onde trabalho tive um caso semelhante, mas com um Joomla muito antigo e
sem condições de fazer atualização (cliente não quer $, não tem mais o
template, ...).
Temos nas máquinas de site o SuPHP que isola o usuário ao site.
Foi um trabalho de formiguinha, mas temos um index.ok (cópia do
index.php) em root e demos chattr +i no index.php tornado ele imutável,
e um inotify que se for gravado algum arquivo o mesmo é deletado.
Então os hackers tentam, tentam, e morrem na praia.
Mas, tem que avaliar e ver se é possível fazer tudo isso.

Alguns scanners ajudam a localizar o que está infectado:

https://github.com/gwillem/magento-malware-scanner
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS-

https://sitecheck.sucuri.net/

Tem que pesquisar e ver se tem algum que se adéqua ao Drupal.

Abraços,

Paulo Correia


Em 25/06/2019 17:12, Henrique Fagundes escreveu:

> Prezado Colegas,
>
> Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
>
> Possuo o seguinte cenário:
> Servidor Linux com Apache, PHP e MySQL.
>
> VERSÕES:
> - Debian Stretch 9.9
> - Apache 2.4.25
> - PHP 7.0.33
> - MysQL 5.7.26
>
> Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
> Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
>
> Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
>
> Desabilitei essas funções:
>
> disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
>
> Mesmo assim o problema persiste.
> A ultima coisa que tentei foi "fechar" mais as permissões do apache.
>
> O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
> Grupo e usuário é o www-data
>
> Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
>
> Existe algo que eu possa fazer?
>
> Atenciosamente,
>
> Henrique Fagundes
> Analista de Suporte Linux
> [hidden email]
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://t.me/AprendendoLinux
> https://t.me/GrupoAprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> [hidden email]
>
> BRASIL acima de tudo, DEUS acima de todos!
>
>