Depanare server Fedora 16 hack
Last Updated: Oct 29 2013 11:34, Started by
vdingo11
, Oct 28 2013 08:14
·
0
#1
Posted 28 October 2013 - 08:14
Salutare.
Azi dimineata cand am accesat site-ul gazduit pe un calculator care are instalat Fedora 16 am vazut ca site-ul a fost hakuit. Imediat am verificat fisierul index.php al site-ului si am vazut ca a fost schimbat. Avand o copie recenta, l-am inlocuit dar as dori sa stiu daca as putea verifica unde este problema de securitate (cum naiba a reusit sa il inlocuiasca) Sunt pasi pe care as putea sa ii urmez in identificarea problemei? Attached FilesEdited by vdingo11, 28 October 2013 - 08:15. |
#2
Posted 28 October 2013 - 09:09
serverul poate fi OK insa site-ul hostat permite escaladarea privilegiilor.
Daca este la zi cu update-urile asta ar putea fi o problema. Verifica si acest aspect. pentru cei ce nu vad imaginea > faceti clic sub textul "Thumbnail-uri ataşate" si va apare imaginea. Edited by Mihai_3, 28 October 2013 - 09:12. |
#3
Posted 28 October 2013 - 10:32
Site-ul este un joomla 2.5.7 (acum l-am actualizat la ultima versiune 2.5.14) si tot pe acelasi server este un alt site joomla 1.5 la care a fost modificat tot index.php (in rest orice fisier index.php sau index.html sunt ok. Doar cele doua fisiere de joomla)
Am scanat si pe niste servere online si pare a fi ok acum dar ma intereseaza cum naiba a avut acces. Totusi am o intrebare: pot vedea cu ce cont a fost copiat/modificat acel fisier index.php (eu nu il mai am in locatia originala ca l-am mutat in alta parte)? Edited by vdingo11, 28 October 2013 - 10:36. |
#4
Posted 28 October 2013 - 10:45
Din cate stiu, Joomla este foarte vulnerabil. Si eu am acasa un webserver Linux, dar la un moment dat am avut un site gazduit ca lumea, in datacenter, tot pe Joomla, si am patit ca tine, mi l-au nenorocit baietii. Deci observ ca e un fenomen destul de frecvent. Tocmai de aceea am inceput sa-mi concep singur site-urile in PHP/HTML/CSS, asa macar am control deplin si chiar daca am vreo buba, o pot gasi cu usurinta.
|
#5
Posted 28 October 2013 - 10:59
BWD, on 28 octombrie 2013 - 10:45, said:
Din cate stiu, Joomla este foarte vulnerabil. Si eu am acasa un webserver Linux, dar la un moment dat am avut un site gazduit ca lumea, in datacenter, tot pe Joomla, si am patit ca tine, mi l-au nenorocit baietii. Deci observ ca e un fenomen destul de frecvent. Tocmai de aceea am inceput sa-mi concep singur site-urile in PHP/HTML/CSS, asa macar am control deplin si chiar daca am vreo buba, o pot gasi cu usurinta. Alt aspect ar fi faptul ca userul isi instaleaza joomla dar nici macar nu este interesat sa citeasca sfaturile de securitate oferite de cei din echipa joomla. |
#6
Posted 28 October 2013 - 12:09
Verifici logurile http, ftp si ssh. Acolo vezi absolut tot ce s-a facut.
|
#7
Posted 28 October 2013 - 13:28
Am verificat eu dar nu intelg eu mare lucru de acolo.
Pana la urma am vazut ca permanent se incerca o cale de director care ma ducea catre radacina unuia din site-urile joomla. Acolo s-a creat un director tmp si in el sunt cateva directoare si fisiere. Printre acestea sunt 3 directoare [INDISHELL (contine niste fisiere pe care nu le pot citi), Indishell [(cand intru pe acesta din urma vad un ~root (si daca dau pe acesta vad toata radacina de pe server) si un .htaccess] si sym (contine aceleasi chestii ca si Indishell)] si cateva fisiere (confkiller.php, index.html. php.ini, selli.php, set.php care contin o groaza de instructiuni pe acolo) Le-am ras pe toate si am luat si drepturile toate de pe acel director. Cum pot vedea eu prin ce cale a fost modificat fisierul index.php (arata undeva explicit: modificat la data de ... de catre ...) |
#8
Posted 28 October 2013 - 20:12
Curata directoarele alea definitiv, nu doar fisierele din ele si vezi si tu ce faci cu permisiunile, n-ar fi trebuit sa poata scrie acolo. Sub ce user/grup erau create?
Deasemenea iti recomand porturi random pt ssh si ftp, sau firewall + vpn. |
#9
Posted 29 October 2013 - 11:34
Huza, on 28 octombrie 2013 - 20:12, said:
Curata directoarele alea definitiv, nu doar fisierele din ele si vezi si tu ce faci cu permisiunile, n-ar fi trebuit sa poata scrie acolo. Sub ce user/grup erau create? Deasemenea iti recomand porturi random pt ssh si ftp, sau firewall + vpn. Merci Au fost create sub un user local (obisnuit) care avea acces prin FTP la acel director. Porturile sunt schimbate pentru toate serviciile, dar din pacate pentru acel user drepturile erau aiurea (nu ii functionau niste chestii din site si atunci a dat drepturi full) Toturi am o intrebare: ce era acel ~root (si cand dadeam pe el vedeam toata radacina serverului) Era un shortcut ceva? Daca a reusit sa faca acel ~root putea oare sa modifice si prin fisierele sistemului? |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users