[Portal Aprendendo Linux]     [OFF-TOPIC] Ajuda com ataque de código criptografado no PHP!

Henrique Fagundes suporte em aprendendolinux.com
Ter Jun 25 17:23:48 -03 2019


Marcelo,

Obrigado por responder.
No meu caso, o ataque não está sendo no MySQL

Eles injetam um código malicioso dentro dos arquivos PHP.
Os sintomas detectados é que fica redirecionando para sites aleatórios.

Atenciosamente, 

Henrique Fagundes 
Analista de Suporte Linux 
suporte em aprendendolinux.com 
Skype: magnata-br-rj 
Linux User: 475399 

https://www.aprendendolinux.com 
https://www.facebook.com/AprendendoLinux 
https://youtube.com/AprendendoLinux 
https://twitter.com/AprendendoLinux 
https://t.me/AprendendoLinux 
https://t.me/GrupoAprendendoLinux 
______________________________________________________________________ 
Participe do Grupo Aprendendo Linux 
https://listas.aprendendolinux.com/listinfo/aprendendolinux 

Ou envie um e-mail para: 
aprendendolinux-subscribe em listas.aprendendolinux.com 


 ---- Ativado Ter, 25 jun 2019 17:17:32 -0300 marcelo martins <aprendendolinux em listas.aprendendolinux.com> escreveu ----
 > https://forum.imasters.com.br/topic/125349-anti-sql-injection/ 
 >  
 > 
 > Em ter, 25 de jun de 2019 às 17:12, Henrique Fagundes <aprendendolinux em listas.aprendendolinux.com> escreveu:
 > Prezado Colegas,
 > 
 > Recorro a ajuda dos senhores, para resolver um problema que está me tirando o sono.
 > 
 > Possuo o seguinte cenário:
 > Servidor Linux com Apache, PHP e MySQL.
 > 
 > VERSÕES:
 > - Debian Stretch 9.9
 > - Apache 2.4.25
 > - PHP 7.0.33
 > - MysQL 5.7.26
 > 
 > Possuo alumas aplicações (entre elas um Drupal) na qual estão sob ataque. Estão conseguindo injetar uma espécie de código criptografado dentro dos arquivos PHP.
 > Eu excluo os arquivos, instalo as aplicações do zero, com o código limpo... Mas o código criptografado sempre volta.
 > 
 > Existe algum ajusto específico que eu possa fazer no "/etc/php/7.0/apache2/php.ini" para resolver esse problema?
 > 
 > Desabilitei essas funções:
 > 
 > disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,system,curl_exec,curl_multi_exec,parse_ini_file
 > 
 > Mesmo assim o problema persiste.
 > A ultima coisa que tentei foi "fechar" mais as permissões do apache.
 > 
 > O /var/www e seus subdiretórios estão com permissão 700 e os arquivos estão com 644.
 > Grupo e usuário é o www-data
 > 
 > Aviso que tenho conhecimento de Linux, mas nenhum conhecimento de PHP.
 > 
 > Existe algo que eu possa fazer?
 > 
 > Atenciosamente, 
 > 
 > Henrique Fagundes 
 > Analista de Suporte Linux 
 > suporte em aprendendolinux.com 
 > Skype: magnata-br-rj 
 > Linux User: 475399 
 > 
 > https://www.aprendendolinux.com 
 > https://www.facebook.com/AprendendoLinux 
 > https://youtube.com/AprendendoLinux 
 > https://twitter.com/AprendendoLinux 
 > https://t.me/AprendendoLinux 
 > https://t.me/GrupoAprendendoLinux 
 > ______________________________________________________________________ 
 > Participe do Grupo Aprendendo Linux 
 > https://listas.aprendendolinux.com/listinfo/aprendendolinux 
 > 
 > Ou envie um e-mail para: 
 > aprendendolinux-subscribe em listas.aprendendolinux.com 
 > 
 > BRASIL acima de tudo, DEUS acima de todos!
 > 
 > 
 >



Mais detalhes sobre a lista de discussão aprendendolinux