Ho un server web che ospita Joomla 1.5. Ho scoperto che il file di configurazione di Joomla configuration.php è stato modificato da un hacker. Come ha potuto farlo?
Tieni presente che il file ha un'autorizzazione 777 . Inoltre, quando provo a sfogliare direttamente il file www.mysite.com/configuration.php ottengo una pagina vuota come risposta.
Prima di tutto, l'autorizzazione 777 significa che il file di configurazione di cui stai parlando può essere modificato da qualsiasi altro utente sul sistema . Quindi, in sostanza, un hacker che compromette il tuo server e ottiene l'accesso al sistema operativo ha le autorizzazioni necessarie per manomettere quel file.
Un hacker può compromettere il tuo server e ottenere l'accesso al sistema semplicemente sfruttando un servizio vulnerabile in esecuzione sul tuo server, come le vecchie versioni senza patch di Samba o FTP.
Potrebbe anche sfruttare una vulnerabilità all'interno del tuo server web o dell'installazione di PHP per ottenere privilegi di esecuzione di codice in modalità remota. Ad esempio, dai un'occhiata a questo bug CGI PHP che può essere facilmente sfruttato utilizzando il metasploit Framework open source gratuito .
Molto probabilmente, l'hacker ha cambiato il file di configurazione sfruttando una vulnerabilità nell'installazione di Joomla . Al momento della stesura di questo articolo, l'ultimo aggiornamento della serie Joomla 1.5.x è 1.5.26 . La tua installazione di Joomla è completamente aggiornata?
Se vuoi rintracciare l'attività dell'hacker, un buon punto di partenza sarebbe l'ispezione dei tuoi file di log, presumendo ovviamente che l'hacker non coprisse le sue tracce e manomesse anche questi.
Com'è possibile che qualcuno modifichi un file che è scrivibile da qualsiasi utente sul sistema ? Molto probabilmente un bug di inclusione di file locali (che è piuttosto comune con i plugin di Joomla)
Leggi altre domande sui tag webserver web-application intrusion