analizzando il registro dei siti Web compromessi: esiste un collegamento tra ./etc e ./tmp durante il caricamento dei file? [chiuso]

Question

analizzando il registro dei siti Web compromessi: esiste un collegamento tra ./etc e ./tmp durante il caricamento dei file? [chiuso]

#1 da (1 voti)

1

Uno dei miei amici è stato hackerato e mi ha chiesto aiuto. Questo ragazzo aveva un singolo host condiviso e caricato come 20 siti web e uno di questi è stato violato e ora tutti sono pieni di shell.

Ho chiesto un elenco di file che sono stati creati o modificati sul server e ho ricevuto l'elenco come di seguito.

Il nome della shell è accesson.php che appare per la prima volta in

./etc/assets/images/accesson.php

e poi in

./tmp/assets/images/accesson.php

log:

./etc
./etc/newsss.com
./etc/shsh.com
./etc/nck.com
./etc/pvf.com
./etc/pvf.com/@pwcache/info
./etc/lck.com
./etc/assets
./etc/assets/images
./etc/assets/images/accesson.php
./tmp
./tmp/assets
./tmp/assets/images
./tmp/assets/images/accesson.php
./mail
./mail/new
./mail/tmp
./mail/assets
./mail/assets/images
./mail/assets/images/accesson.php



./public_html
./public_html/images/2017/01/162210999.jpg.CROP_.cq5dam_web_1280_1280_jpeg-280x200.jpg
./public_html/wp-content/plugins
./public_html/.ftpquota
./public_html/backlinks/error_log
./public_html/app/images
./public_html/app/images/css_sprites.png
./public_html/app/index.php
./public_html/assets
./public_html/assets/images
./public_html/assets/images/accesson.php
./public_ftp
./public_ftp/assets
./public_ftp/assets/images
./public_ftp/assets/images/accesson.php

 ./irso.com
./irso.com/.ftpquota
./irso.com/wp-content/plugins
./irso.com/wp-content/themes
./irso.com/assets
./irso.com/assets/images
./irso.com/assets/images/accesson.php

./ncl2.com
./ncl2.com/assets
./ncl2.com/assets/images
./ncl2.com/assets/images/accesson.php
./cache
./cache/assets
./cache/assets/images
./cache/assets/images/accesson.php
./ssl
./ssl/assets
./ssl/assets/images
./ssl/assets/images/accesson.php


./efr.com
./efr.com/.ftpquota
./efr.com/assets
./efr.com/assets/images
./efr.com/assets/images/accesson.php

Sembra che accesson.php sia stato diffuso in tutte le directory. La cosa interessante è che è stata creata con la sua directory /assets/images/ anche in /tmp .

Ho pensato che dal momento che i primi utenti in ./tmp devono essere caricati tramite qualche errore dato che tutti i file caricati vanno prima a ./tmp , ma che dire di ./etc ? È anche prima di ./tmp C'è un collegamento tra i due?

Apprezzerei qualsiasi suggerimento.

php wordpress

posta hretic 05.05.2018 - 16:37

fonte

1 risposta

Leggi altre domande sui tag php wordpress

Tegra X1 potenziale di portabilità di bootrom (K1 in nexus 9 in particolare) SUID exploit e patch

score 1 · Accepted Answer

(Ho cancellato la mia risposta su SO dal momento che probabilmente sarà chiusa)

etc è una directory suggestiva da attaccare perché dovrebbe essere di proprietà di root e non scrivibile a nessun altro.

$ ls -alZ / | grep tmp
drwxr-xr-x. root root system_u:object_r:etc_t:s0       etc

Lo sai, ma sto solo dicendo che è suggestivo perché non vedo alcuna ragione per cui dovrebbe essere scrivibile. È probabile che lo script stia solo tagliando e cercando di scrivere ovunque sul filesystem, forse il programma compromesso ha le autorizzazioni di scrittura su / etc /, probabilmente per poter alterare il proprio file di configurazione ... o l'errata configurazione su / etc / .

Il mio piccolo script qui è maldestro e crea solo la directory ma mostra cosa intendo per thrashing:

find / -maxdepth 2 -type d -exec mkdir -p '{}'\/assets\/images \;

tmp è un buon obiettivo iniziale per il malware perché tutti hanno permessi di scrittura e quei file possono essere eseguiti, anche se con permessi limitati.

$ ls -alZ / | grep tmp
drwxrwxrwt. root root system_u:object_r:tmp_t:s0       tmp

La violazione sembra un tentativo di escalation perché se ci fosse un accesso root non ci sarebbe motivo di scrivere su tmp, o thrash, ei log potrebbero essere ripuliti. Un buon inizio è abilitare selinux in modo che i file che non si trovano in posizioni specifiche per i file eseguibili non possano essere eseguiti. Selinux avrebbe anche impedito un sacco di colpi.

Non so su efr, irso, nc12 ma i permessi di scrittura su ssl sono decisamente pessimi e fanno errori di configurazione. Immagino che la voce sia avvenuta attraverso un goffo script php basato sulle modifiche extra di public_html (index.php), è solo una supposizione.