PHP su IIS 7.5 Hacked - Come posso trovare e correggere XSS Injection?

2

Ho scoperto che qualcuno aveva ottenuto l'accesso tramite il software del server FileZilla al mio Windows 2012 Server. Sembra che avessero creato account extra e stessero cercando tentativi di forza bruta di entrare quasi costantemente.

Ad ogni modo, qualsiasi pagina PHP in esecuzione su uno dei miei siti su questo server ha avuto un iframe con un link a un file exe dannoso da un IP cinese come sorgente. Ho arrestato il server FTP ed è stato in grado di implementare X-Frame-Option: DENY in IIS per impedire che il file provasse a scaricare. Tuttavia, ora sto cercando di giocare a detective e trovare dove si trova questo codice dannoso.

Ho provato a cercare su IIS, ma credo che sia specifico per PHP. Ho cercato nei file php.ini i riferimenti a questo indirizzo IP ma non ho trovato nulla.

Se qualcuno potesse consigliare modi per trovare e pulire il codice iframe dannoso, sarebbe apprezzato. Ho installato PHP 5.3 e 5.4 dal programma di installazione della piattaforma Web.

Grazie.

    
posta jethomas 14.12.2013 - 01:17
fonte

2 risposte

5
  1. Questo non è XSS. Sei stato violato.

  2. Vuoi controllare le impostazioni di auto_prepend_file e auto_append_file. Questo potrebbe trovarsi nel file php.ini o in .htaccess.

  3. Se l'attaccante avesse accesso al sistema fino al punto in cui poteva eseguire codice PHP arbitrario, avrebbe potuto fare molte cose peggiori. Scopri in che modo l'hacker è entrato, se possibile, ma in seguito dovresti recuperare tutti i dati dalla macchina e pulire e reinstallare l'intera macchina da un media affidabile. Prendi in considerazione eventuali chiavi private (ad es. Da certificati SSL), password, ecc. Memorizzate sulla macchina compromesse (ovvero modifica password, revoca e sostituisci certificati).

  4. Considera la possibilità che l'hacker abbia nascosto una backdoor da qualche parte nel tuo codice PHP. Ovunque. Questo è in realtà piuttosto probabile. Se si desidera copiare qualsiasi codice nel computer reinstallato, è necessario controllarlo tutto (ad esempio confrontandolo con una copia pulita nota - prestare attenzione anche ai file aggiuntivi) o semplicemente aggiungerlo e reinstallarlo da una fonte pulita. Controlla anche il tuo database di Wordpress / altri CMS per le impostazioni che potrebbero consentire backdoor.

risposta data 14.12.2013 - 08:11
fonte
0

Non è facile trovare un buco di sicurezza se hai un sacco di codice proprietario. Ma molto probabilmente gli aggressori usano vulnerabilità conosciute in WordPress o qualunque software / framework tu stia utilizzando. Assicurati che il tuo software stia eseguendo le ultime versioni. Aggiorna anche le tue versioni di database, webserver e php.

Inoltre, potresti provare a eseguire un proxy di attacco per trovare la vulnerabilità. per esempio. dai un'occhiata al ZED Attack Proxy di OWASP: link

    
risposta data 15.12.2013 - 15:16
fonte

Leggi altre domande sui tag