Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 12
  1. #1
    Membro
    Data de Ingresso
    May 2011
    Localização
    Sete Lagoas, MG
    Posts
    12

    Exclamation [AJUDA] Shell scripts e scripts em perl injetados - Servidor hackeado..

    Olá,
    Eu tenho 290 sites hospedados.

    Por alguma vulnerabilidade no joomla, (eu acredito que sim), algumas pessoas conseguiram inserir arquivos maliciosos na pasta tmp de alguns dominios, e executa-los.

    Muitos shell scripts encriptografados (como por exemplo o c99shell) foram injetados.. A maior parte dos processos do meu servidor estavam sendo finalizados a todo minuto.

    Também achei um script que, listava os usuários o cpanel de todos os domínios no meu servidor.

    E o que mais me preocupa:

    O joomla guarda as informações relacionadas ao banco de dados em um arquivo chamado configuration.php .

    90% dos sites que eu hospedo são feitos em Joomla.

    Achei um script em perl em alguns domínios que, escaneia por arquivos configuration.php, config.php, wp-config.php em todos os domínios em meus servidor, e salva uma cópia em um arquivo .txt

    Com isso, é possível ter acesso à todos os bancos de dados em meu servidor, de tudo. Incluindo senhas dos bancos do WHMCS, Wordpress, Magento, e Drupal..


    A minha dúvida é:

    Eu preciso mudar a senha de todos os bancos de dados, e também altera-los nos arquivos configuration.php, porém eu não sei uma forma de fazer isso automaticamente.

    É possível fazer um script que faça essa mudança tanto nos arquivos configuration.php quanto no mysql ???

    Eu não tenho idéia de como fazer isso. Estou usando "grep" para localizar os arquivos no servidor. Porque eu tenho que deleta-los antes de fazer qualquer mudança no mysql.


    Última questão: Isso foi um problema do joomla (versão 1.5 bem antiga) ou foi por que minha pasta /tmp não estava em uma partição isolada? (Eu uso OpenVZ).


    Eu também não tenho regras no mod_security rodando, porque elas estavam causando problemas nos meus sites em wordpress.

    O grep está aumentando muito o meu server load..
    Todos os "ataques" foram feitos por IPs da Nigéria, tenho todos eles nos logs do Apache, mas, tenho certeza q ter essas informações não vai me adiantar de nada..

    Qualquer ajuda será extremamente apreciada :/

    Grato.

  2. #2
    Guru Junior
    Data de Ingresso
    Mar 2011
    Posts
    217
    Ative o mod_security imediatamente e instale o ConfigServer ModSecurity Control para que consiga facilmente desabilitar alguma regra que cause problema somente para o site com problema e não para todo o servidor, depois instale o antimalvare Antimalware Plugin for WHM pode usar 7 dias grátis e faça uma varedura em todas as contas, de resto se suspeita que conseguiram as senhas da instalação do joomla admim e banco de dados eu recomendo mudar em todos os arquivos de configuração. Faça o que citei acima e depois vá alterando uma a uma, se não instalar o mod_security e scanear as contas pode logo desligar o servidor que nada que faça vai resolver, será questão de horas para ter o mesmo problema.

  3. #3
    Membro
    Data de Ingresso
    May 2011
    Localização
    Sete Lagoas, MG
    Posts
    12
    Olá Yuri, muito obrigado por responder,

    O modsecurity é eficaz com a configuração padrão?

    Eu instalei as regras da gotroot, porém sempre que eu ativo elas, qualquer site que tento entrar dá em um erro 102 - conexão rejeitada.

    Eu instalei o Antimalware e vou começar a rodar ele, porém a maioria dos scripts está criptografado.
    Enquanto isso eu desabilitei a função de upload no php.

    O principal problema está sendo os scripts em perl. Se eu desabilito a execução deles no usuário nobody, o cpanel para de funcionar..

  4. #4
    Guru Junior
    Data de Ingresso
    Mar 2011
    Posts
    217
    Citação Postado originalmente por viniciusmunich Ver Post
    Olá Yuri, muito obrigado por responder,

    O modsecurity é eficaz com a configuração padrão?

    Eu instalei as regras da gotroot, porém sempre que eu ativo elas, qualquer site que tento entrar dá em um erro 102 - conexão rejeitada.

    Eu instalei o Antimalware e vou começar a rodar ele, porém a maioria dos scripts está criptografado.
    Enquanto isso eu desabilitei a função de upload no php.

    O principal problema está sendo os scripts em perl. Se eu desabilito a execução deles no usuário nobody, o cpanel para de funcionar..
    As regras do gotroot vão dar bem mais falso positivo, ou seja muitas funções normais vão acabar sendo bloqueadas, creio que as regras básicas estão de bom tamanho para este momento de emergência, o antimalware vai impedir o envio de scripts perl e php via http e ftp, via http vai bloquear e via ftp vai colocar na quarentena, veja se em settings >> FTP Inspector configuration está tudo ativado (Yes) e confira nas regras do modsecurity se está la na primeira linha a referencia ao antimalware, pode não estar se reinstalou ou reativou as regras padrão depois de instalar o antimalware é esta linha bem no começo

    # Pyxsoft Antimalware
    Include /usr/local/apache/conf/modsec2.antimalware.conf

    O scaneamento de todas as contas vai identificar virus, malvares, códigos injetados nos sites, iframes, shellscripts, ..... esta versão trial não vai apagar ou colocar na quarentena mais vai te mostrar o caminho exato para o arquivo suspeito aí vc verifica e apaga se for , vai encontrar muita coisa provavelmente decodificada em base64 o antimalware tem "inspect file" ao lado direito do arquivo que decodifica para que possa comprovar se é um código malicioso ou não, nos casos em que ele detrmina que é suspeito mais não consegue identificar na base de assinatures que é utilizado para identificar exatamente o nome

  5. #5
    Membro
    Data de Ingresso
    May 2011
    Localização
    Sete Lagoas, MG
    Posts
    12
    Nas varreduras em uma única conta que eu fiz, esse AntiMalware achou coisas que o ClamAV não tinha identificado. Na verdade o ClamAV não identificou nada.

    Yuri, obrigado mais uma vez.
    Enquanto a varredura é feita, estou procurando manualmente em cada dominio.

  6. #6
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    Citação Postado originalmente por viniciusmunich Ver Post
    Nas varreduras em uma única conta que eu fiz, esse AntiMalware achou coisas que o ClamAV não tinha identificado. Na verdade o ClamAV não identificou nada.

    Yuri, obrigado mais uma vez.
    Enquanto a varredura é feita, estou procurando manualmente em cada dominio.
    o clamav costuma achar os arquivos c99, voce atualizou ele? rodou pelo SSH?
    Siga-nos em nosso twitter: @wht_brasil

  7. #7
    Membro
    Data de Ingresso
    May 2011
    Localização
    Sete Lagoas, MG
    Posts
    12
    Citação Postado originalmente por Winger Ver Post
    o clamav costuma achar os arquivos c99, voce atualizou ele? rodou pelo SSH?
    Olá Winger,

    Eu atualizei sim, usando o comando freshclam, porém eu só rodei ele pela GUI.
    Assim que o anti-malware acabar de rodar, eu vou mandar o Clam rodar na /home

    clamscam /home

    Escanear só a home é o suficiente ?

    Obrigado.

  8. #8
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Amigo, recomendo seguir o procedimento descrito pelo colega Duran aqui do forum:

    [Tutorial Completo] Seguran

    Poderá instalar o maldetec e configurá-lo p/ enviar os scripts p/ quarentena como mostra no proprio tópico. (Este script, faz a varredura, envia os arquivos suspeitos p/ quarentena e manda um relatório por email p/ você...além disso, faz a varredura todos os dias na madrugada)

    A vantagem dele comparado com o que o colega mencionou, é que este é grátis e trabalha junto com o clamav.

    Lá tem uma dica sobre configuração do mod_security também.

    Para impedir este shell, talvez scripts do thumbs deixam de funcionar, se isto acontecer, vai precisar achar uma solução.

    A cada conta infectada, sugiro mudar as senhas do joomla como o colega disse e mudar a senha do cpanel da conta também.

    Uma alternativa razoavel, é bloquear todo o range do pais que está invadindo seus sites.

    Estes dias, tive problemas do genero com algumas revendas, o invasor acessava o cpanel, mudava o idioma p/ arabe, e colocava um arquivo chamado dma.zip, não sei se o processo era feito manualmente ou automatico, todos os arquivos eram deletados, e ficava apenas a index.html, um jpg com nome de 555555, um htacess em branco e o arquivo dma.zip

    Boa sorte ai.

    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  9. #9
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168
    Quanto a pergunta de mudar em massa as senhas dos bancos e o configuration.php, sim, é possível fazê-lo com combinação do find (para buscar recursivamente por todos os arquivos), sed e expressões regulares (para localizar a linha da senha antiga e substituir pela nova) e mysqlc.

  10. #10
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596
    Aproveite e remova a permissão do CGI-BIN.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •