Quali passaggi è necessario fare per identificare il buco di sicurezza

4

Uso l'hosting VPS. Installato CentOS 6 e ZPanel secondo questo tutorial link

Avviso ricevuto dal provider di hosting: Questo URL è stato identificato come sito di phishing ed è attualmente coinvolto in attività di furto di identità. URL: hxxp: //111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/ (url here e further sono un po 'modificati)

File server scaricati sul computer locale. Ho cercato itunes . Log trovati come questi

\var\log\httpd\access_log
111.11.160.253 - - [20/Oct/2013:15:18:07 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "curl/7.18.2 (i486-pc-linux-gnu) libcurl/7.18.2 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.10"
11.111.144.148 - - [20/Oct/2013:15:30:13 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows\t\t\t\t\tNT 5.2)"
11.111.33.36 - - [14/Oct/2013:03:26:49 -0400] "POST /www.connet-itunes.fr/iTunesConnect.woasp/inscription/ HTTP/1.1" 200 13392 "http://176.56.238.177/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.50.2 (KHTML, like Gecko) Version/5.0.6 Safari/533.22.3"

\var\zpanel\logs\domains\zadmin\mydomainname.com-error.log 1 443,00 KB 23.10.2013 09:12:56
[Tue Oct 15 02:47:30 2013] [error] [client 11.11.253.220] File does not exist: /var/zpanel/hostdata/zadmin/public_html/mydomainname_com/www.connet-itunes.fr, referer: http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/

\var\var\zpanel\logs\domains\zadmin\mydomainname.com-access.log 111,00 KB 23.10.2013 09:12:56
11.11.253.220 - - [15/Oct/2013:02:47:30 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 - "http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

\var\zpanel\logs\domains\zadmin\anotherdomain.lv-access.log 4 386,00 KB 23.10.2013 14:02:56
11.11.164.110 - - [15/Oct/2013:02:47:36 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 42823 "http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

\var\zpanel\logs\domains\zadmin\anotherdomain.lv-error.log 196,00 KB 23.10.2013 12:41:40
[Tue Oct 15 02:47:36 2013] [error] [client 11.11.164.110] File does not exist: /var/zpanel/hostdata/zadmin/public_html/anotherdomain_lv/www.connet-itunes.fr, referer: http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/

\var\log\httpd\error_log 36,00 KB 23.10.2013 13:08:36
[Tue Oct 15 03:50:03 2013] [error] [client 11.111.23.90] Directory index forbidden by Options directive: /etc/zpanel/panel/www.connet-itunes.fr/
[Tue Oct 15 05:28:28 2013] [error] [client 11.111.140.53] File does not exist: /etc/zpanel/panel/favicon.ico, referer: http://111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/
[Sat Oct 19 17:46:38 2013] [error] [client 5.49.165.166] PHP Notice:  Undefined index: donnee2 in /etc/zpanel/panel/www.connet-itunes.fr/iTunesConnect.woasp/inscription/index.php on line 277

Trovato un file (virustotal.com identificato come PHP:Shell-BH [Trj] , PHP/BackDoor.BT , VEX16c0.Webshell , PHP/PhpShell.NAJ , Backdoor:PHP/Shell.Q ). L'utilizzo di tale file sembra che l'hacker possa avere il pieno controllo dei file del server (vedere, eliminare, caricare, modificare); Ho controllato il file sul computer locale (wamp).

Ma da tutto quanto sopra non ho idea di dove sia il buco della sicurezza. La posizione di quel file era etc/zpanel/panel/bin/ . Significa che l'hacker ha hackerato ZPanel? Trovato una discussione correlata qui link Ma nessuna soluzione. Si prega di chiedere quali passi devono fare per identificare i buchi di sicurezza

    
posta Andris 23.10.2013 - 16:56
fonte

1 risposta

5

Sfortunatamente, le voci del registro che mostri non si riferiscono necessariamente alla vulnerabilità che ha permesso l'attacco all'attaccante in primo luogo. Questi registri mostrano che l'utente malintenzionato ha inviato un file infetto sul server e quindi ha utilizzato il server come host di supporto per infettare altre persone: il server è stato utilizzato come un semplice file server. L'URL che inizia con "http: //", quindi il tuo indirizzo IP, quindi un "/", quindi un "nome apparentemente onesto del server", è un ovvio tentativo di far credere agli utenti umani che stanno scaricando il file da un iTunes ufficiale fonte, e non il tuo server.

Il fatto che il file si trovasse nelle directory di ZPanel indica che la vulnerabilità utilizzata dall'attaccante non gli concedeva l'accesso completo, ma gli consentiva solo di inviare un file suo proprio, in una directory che l'utente malintenzionato non controlla completamente. Questo sarebbe un buon caso per te: significherebbe che la vulnerabilità è effettivamente in ZPanel, e che la tua macchina potrebbe essere recuperabile (cioè è stato violato solo parzialmente ). Nota che alcune ricerche su Google rivelano che la sicurezza di ZPanel è stata messa in dubbio .

Tuttavia, non possiamo escludere logicamente uno scenario più scuro, in cui l'attaccante ha preso il pieno controllo della macchina e ha inserito il file nella directory ZPanel solo in modo da avere una bassa probabilità di inciampare su di esso. Se che è lo scenario reale, allora dovrai riformattare il server completo (la cura "nuke for orbit").

In ogni caso, per identificare la prima vulnerabilità, devi cercare voci di registro precedenti. Le date di creazione / modifica del file sul tuo filesystem possono dare indizi su quando il file è stato inserito sul tuo server. Questo potrebbe essere accaduto molto prima (l'hacker potrebbe aver lasciato il file "dormiente" per alcuni giorni o settimane prima di usarlo per la sua truffa di phishing).

    
risposta data 23.10.2013 - 17:35
fonte

Leggi altre domande sui tag