WSO 2.5 trovato su Apache

1

Ho trovato sul mio server web il file wp-conf.php che quando lo chiami dal browser con un parametro url come wp-conf.php? t7831n = qualsiasi valore mostra un'interfaccia dove puoi controllare l'intero server. Sto usando Joomla 1.5 sul server che ha molte vulnerabilità.

Il codice per questa cosa WSO che ho decodificato può essere visto qui

Oltre a migrare a una versione più recente di Joomla, vorrei assicurarmi che tutte le directory siano prive di file dannosi. Corro chkrootkit e dice che va tutto bene. Inoltre, quali sarebbero le autorizzazioni corrette per essere nella directory / var / www. Dopo aver letto un bel po 'di post, li ho ora come 755 (eccetto un temp che ha bisogno di 777) e il proprietario è l'utente principale con i dati del proprietario del gruppo www di cui l'utente principale è parte.

Qualsiasi aiuto / intuizione è molto apprezzato. Il server sta eseguendo Ubuntu 10.04 ed è completamente rattoppato. Grazie

    
posta Nic 13.08.2013 - 18:44
fonte

1 risposta

0

prima di tutto: ti preghiamo di disabilitare qualsiasi connessione di rete in / out tramite iptables, ad eccezione di ssh. è possibile che il tuo server sia già parte di una botnet.

eseguire una versione obsoleta di $ qualunque sia la cosa peggiore, come hai avuto esperienza, vedi [1] , [2]

per la tua seconda parte: non sai se i file sono modificati e roba maliziosa inclusa, o qualsiasi file nascosto lasciato cadere nella tua docroot. trovare queste cose ha bisogno di una certa esperienza. devi anche controllare / tmp per le directory nascoste o la tua rete-config.

che cosa puoi fare: prendi clean joomla-sources e fai un setup con il tuo database; ma controlla il tuo database per cose che non ci appartengono.

puoi controllare il tuo sito web con sucuri o il tuo server-ip con robtex per vedere, se il tuo sito è già conosciuto come cattivo; google-safebrowsing potrebbe dare un altro suggerimento. e Google ha una pagina per aiutare / informare persone come te: qui

dovresti anche controllare i tuoi registri per quell'ip che ha avuto accesso a quel wp-conf.php.

    
risposta data 13.08.2013 - 21:16
fonte

Leggi altre domande sui tag