Cosa è stato fatto per ottenere un elenco di account di directory home?

2

Oggi alcuni siti sono stati deturpati nel nostro VPS WHM / cpanel. Capisco che la causa comune di questo è obsoleto script / plug-in / ecc. Tuttavia, mentre stavo controllando il file manager di uno degli account, ho visto un .txt contenente un mucchio di informazioni sul server, incluso un elenco di nomi utente di tutti gli account all'interno della directory home. Ora inizio a credere che il problema potrebbe non essere uno script obsoleto, ma un po 'di sicurezza nel server stesso.

Ecco lo screenshot del file:

Si noti che la password di root non è mai stata utilizzata per accedere, poiché mi viene sempre inviata una notifica quando accade.

La mia domanda è: come può un hacker ottenere queste informazioni? Il personale interno di gestione del server in cui affido il VPS dice solo che è dovuto a Wordpress / software obsoleti, ma non credo. Penso che siano troppe informazioni da ottenere solo con uno script obsoleto.

    
posta IMB 02.08.2012 - 10:16
fonte

3 risposte

3

Da quello che vedo, sembra che un hacker sia riuscito ad accedere al tuo server, probabilmente attraverso una vulnerabilità di qualche tipo.

Il file di testo sembra l'output di uno script di raccolta di informazioni tipico che verrà eseguito dopo aver ottenuto l'accesso al server.

Con le informazioni che hai fornito, è quasi impossibile determinare il vettore esatto e l'impatto dell'attacco. Dovresti consultare un'azienda di sicurezza per determinare la portata e l'impatto dell'attacco, nonché i passaggi che puoi intraprendere per porre rimedio alla violazione.

L'attaccante non è molto attento, dato che non ha cancellato il file di testo dopo il suo attacco.

    
risposta data 02.08.2012 - 10:39
fonte
1

Non sembra un approccio ragionevole. Se vuoi sapere cosa c'è che non va nel tuo server e come va hackerato, fai un po 'di medicina legale con un esperto.

Forse questo è interessante: Come hackerare whm panel by LFI exploit (Da maggio 2012)

    
risposta data 02.08.2012 - 10:34
fonte
0

Non c'è alcuna indicazione che l'accesso al livello root sia stato ottenuto sul server. Tutte queste cose sono visibili da un account utente limitato, come Apache, o qualunque script PHP di account utente eseguito come. Hanno trovato una vulnerabilità in uno dei tuoi script PHP e hanno ottenuto l'accesso all'account da cui provengono quegli script.

    
risposta data 04.03.2018 - 21:58
fonte

Leggi altre domande sui tag