Limpeza de site invadido em hospedagem CWP: guia para empresas

CWP: poderoso e sensível na mesma medida

O CentOS Web Panel administra VPS com múltiplos domínios, PHP, MySQL, e-mail e firewall integrado. PMEs e revendas adotam pelo custo — mas instalação padrão com porta 2030 exposta, senha previsível ou mod_php legado vira convite para bots que procuram shell.php e mineradores em todo o disco.

Sintomas: CPU a 100% sem tráfego, arquivos em /tmp, usuários Linux desconhecidos, ou domínios adicionados automaticamente no painel.

Contenção imediata no VPS

1. Altere senha root e usuários CWP; revogue chaves SSH em ~/.ssh/authorized_keys.
2. Bloqueie portas administrativas ao IP do escritório ou VPN — nunca 0.0.0.0/0 aberto.
3. Isole sites comprometidos desabilitando vhost ou movendo pasta para quarentena.
4. Capture logs: /var/log/, access logs por domínio, histórico cron (crontab -l para todos os usuários).

Limpeza técnica por camadas

• Arquivos web — diff contra instalação limpa do CMS; remova PHP em uploads; busque padrões eval(base64_decode, gzinflate.
• Banco de dados — usuários admin WordPress desconhecidos, opções autoload com scripts injetados.
• Sistema — rootkits exigem reinstall; confiança zero após comprometimento profundo de kernel.
• E-mail — filas Postfix/Exim com spam pendente; revise SPF para não ser relay aberto.

Em invasão persistente (rootkit, múltiplos backdoors), rebuild do VPS + restore de backup limpo costuma ser mais barato que caça infinita.

Hardening pós-limpeza

• Atualize CWP, PHP, OpenSSL e kernel; desabilite versões PHP EOL.
• ModSecurity / CSF com regras atualizadas; fail2ban em SSH.
• Permissões 644 arquivos / 755 pastas; dono correto por conta.
• Backup off-server diário — ransomware no VPS apaga snapshot local.
• Monitoramento de integridade (AIDE, script de hash semanal).

Compare com recuperação em hospedagem compartilhada · Hospedagem WordPress · Migrar para ambiente gerenciado · Limpeza profissional ITC.