Il mio forum eseguiva MyBB 1.6.10 e maldet ha trovato un file JPG con webshell by Orb codice malware alla fine ( php.cmdshell.unclassed.352 ). Sto utilizzando nginx e mi sono assicurato che i file arbitrari vengano elaborati come file PHP per questo guida .
Ancora: come potrei verificare se l'exploit è stato effettivamente eseguito dal file JPG malformato che l'utente malintenzionato ha caricato come avatar?
Puoi eseguire un test automatico di penna di:
php nel tuo caso il file jpeg arbitrario nel tuo browser e vedi se visualizza o esegue un semplice comando Linux dice ls . Esempio : diciamo che il file jpeg è nel tuo <path>/uploads/ potresti essere in grado di ottenere una shell dal tuo browser se inserisci http://yourSite.com/uploads/shell.jpeg
access: /var/log/nginx/access.log error: /var/log/nginx/error.log Esempio : cat /var/log/nginx/access.log | grep -i 'name_of_file.jpeg.php'
Nota: non vuoi rimuovere il malware web finché non vedi ciò che l'uploader ha fatto o sta facendo al tuo server, così puoi recuperare da qualsiasi danno.
Post Mitigation : dopo aver mitigato il danno, correggere la vulnerabilità dell'applicazione aggiornando per limitare chi può caricare i file, inoltre si consiglia di disabilitare l'esecuzione di PHP interamente nella cartella /uploads/ (< a href="http://www.goitworld.com/disable-php-execute-of-special-directory-of-nginx/"> how? )