Autore Topic: problema virus # Symlink to [/opt/alt/php53/etc/php.d]  (Letto 109 volte)

Offline mancar

  • Esploratore
  • **
  • Post: 56
    • Mostra profilo
salve a tutti,
è già la seconda volta in un mese che mi viene messo fuori uso il sito a causa di un virus.
Il provider mi ha comunicato una lista di file "infetti".
Nella lista è riportato un elenco del tipo:

Codice: [Seleziona]
----------- SCAN REPORT ----------- TimeStamp: Thu, 6 Oct 2016 00:27:26 +0530 (/usr/sbin/cxs --allusers --nobayes --clamdsock /var/clamd --defapache nobody --doptions Mv --exploitscan --nofallback
--filemax 10000 --html --ignore /etc/cxs/cxs.ignore --options mMOLfSGchexdnwZDRu --qoptions Mvh --report /home/scan-05-10-16.txt
--sizemax 500000 --ssl --summary --sversionscan --timemax 30 --virusscan)

(1825) a4uonin, Scanning /home/a4uonin:


 '/home/a4uonin/access-logs' # Symlink to [/usr/local/apache/domlogs/a4uonin]

 '/home/a4uonin/.cagefs/opt/alt/php44/link/conf' # Symlink to [/opt/alt/php44/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php51/link/conf' # Symlink to [/opt/alt/php51/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php52/link/conf' # Symlink to [/opt/alt/php52/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php53/link/conf' # Symlink to [/opt/alt/php53/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php54/link/conf' # Symlink to [/opt/alt/php54/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php55/link/conf' # Symlink to [/opt/alt/php55/etc/php.d]

 '/home/a4uonin/.cagefs/opt/alt/php56/link/conf' # Symlink to [/opt/alt/php56/etc/php.d]

 '/home/a4uonin/.cagefs/tmp/.s.PGSQL.5432' # Symlink to [/var/run/postgres/.s.PGSQL.5432]

 '/home/a4uonin/.cagefs/tmp/mysql.sock' # Symlink to [/var/lib/mysql/mysql.sock]

 '/home/a4uonin/.cagefs/var/cache' # World writeable directory

 '/home/a4uonin/.cagefs/var/cache/php-eaccelerator' # World writeable directory

 '/home/a4uonin/.cagefs/var/php' # World writeable directory

 '/home/a4uonin/.cagefs/var/php/apm' # World writeable directory

 '/home/a4uonin/.cagefs/var/php/apm/db' # World writeable directory

 '/home/a4uonin/.cagefs/var/run' # World writeable directory

 '/home/a4uonin/.cagefs/var/run/screen' # World writeable directory

 '/home/a4uonin/public_ftp/incoming' # World writeable directory

/home/a4uonin/public_html/rss.php'
# (quarantined to /quarantine/cxsuser/a4uonin/rss.php.1502106283_1) Known exploit = [Fingerprint Match] [PHP Exploit [P1349]]
 
'/home/a4uonin/public_html/administrator/components/com_acymailing/classes/template.php'
# (quarantined to /quarantine/cxsuser/a4uonin/template.php.1502106285_1) Known exploit = [Fingerprint Match] [PHP Exploit [P1349]]
 
'/home/a4uonin/public_html/administrator/components/com_acymailing/types/bounceaction.php'
# (quarantined to /quarantine/cxsuser/a4uonin/bounceaction.php.1502106295_1) Known exploit = [Fingerprint Match] [PHP Exploit [P1349]]


In particolare i file php li ho aggiustati...
Invece dove indicato:

Codice: [Seleziona]
# World writeable directory
e
Codice: [Seleziona]
# Symlink to [/opt/alt/php55/etc/php.d]
cosa devo fare ?
« Ultima modifica: 08 Ago 2017, 12:38:02 da mancar »

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 237
    • Mostra profilo
Re:problema virus # Symlink to [/opt/alt/php53/etc/php.d]
« Risposta #1 il: 08 Ago 2017, 14:31:32 »
se non hai un backup sano non ne esci più.

Offline teddy

  • Esploratore
  • **
  • Post: 67
    • Mostra profilo
Re:problema virus # Symlink to [/opt/alt/php53/etc/php.d]
« Risposta #2 il: 09 Ago 2017, 10:45:36 »
Non capisco la funzione della directory .cagefs, suppongo sia funzionale al funzionamento del tuo server, World writeable directory significa che i permessi di quella cartella sono impostati a 777, dovresti impostare minimo a 755.
Per joomla lo puoi fare in automatico con l'estensione admintools con la funzione di correzione permessi.
Per le altre cartelle il tuo client ftp dovrebbe bastare.
Se vuoi prova a fare una copia in locale del sito, sovrascrivi manualmente con un archivio di joomla e delle tue estensioni (es. acymailing), quelle da fonte sicura ovviamente.
Poi confronta i file di un'installazione da zero con quella della copia, se ci sono file in eccesso eliminali.
Ricordati di cambiare tutte le password, anche dell'hosting/db.
Con tutto questo non so se avrai la sicurezza della pulizia, se vuoi ci sono servizi a pagamento che ti aiutano, estensioni come rsfirewall servono più che altro per prevenire un attacco, ma forseun aiuto te lo possono dare...

 

Torna su