impone il caricamento di un file su un server con una porta aperta [duplicato]

0

Recentemente il mio server web è stato violato. qualcuno ha caricato un gestore di file php chiamato extplorer e ha cambiato tutte le mie pagine web e mi chiedevo quali fossero i possibili modi in cui potevano caricare qualcosa sul mio server senza accesso diretto. So che a volte puoi eseguire uno script php su una pagina web di server se non è progettato correttamente ma non ho avuto punti di accesso come questo e ho appena installato php nel caso in cui ne avessi bisogno, non lo stavo usando da nessuna parte e non avevo nient'altro installato su quel sistema non c'era ftp o ssh Esistono altri metodi che l'utente malintenzionato potrebbe utilizzare per ottenere quei file nella directory principale del mio server?

    
posta Nicholas Hendricks 22.11.2017 - 17:23
fonte

3 risposte

0

Dato che @SmokeDispenser menzionato è un commento, questa è una domanda molto ampia, quindi l'elenco che segue è molto generale.

  • Credenziali rubate - Devi essere in grado di aggiornare tu stesso i file PHP, quindi devi avere una sorta di interfaccia per farlo. È possibile che un utente malintenzionato abbia rubato tali credenziali e utilizzato l'interfaccia proprio come hai fatto tu.
  • Bug di esecuzione di codice in modalità remota - È possibile che il codice presenti un bug che consente agli utenti di eseguire codice arbitrario e che l'utente malintenzionato lo ha sfruttato per scaricare il file sul server. Se si utilizza un framework, come Wordpress, cakePHP, ecc., Il bug potrebbe esistere in quel software.
  • Un altro con un'altra applicazione sul sistema che consentiva all'utente di accedere al filesystem.

I primi due elementi sono i vettori di attacco più probabili. Conosci il proprietario originale del file? Questo potrebbe essere il miglior indizio su come è stato creato quel file.

    
risposta data 22.11.2017 - 17:57
fonte
0

Avrebbe potuto facilmente essere una configurazione bug o miss di apache che permettesse loro di entrare.

Potresti essere in esecuzione una vecchia versione di Apache con vulnerabilità sconosciute. Potrebbe essere un errore del giorno zero.

Forse c'è un exploit del kernel, non abbiamo idea del kernel che stai usando o potrebbe essere super vecchio.

Esegui il buff over-over e questo è un ottimo modo per iniettare il codice che vuoi eseguire, che poi apre ulteriori vettori di attacco.

    
risposta data 22.11.2017 - 19:56
fonte
0

Potrebbe anche essere un attacco di attraversamento del percorso. L'attaccante accede a una pagina legittima del server web e prova a inserirlo nell'URL "../../../system.ini" come esempio, scopre di avere accesso alla directory e / o al file di configurazione del server e ha caricato il suo file dannoso. È necessario esaminare i registri per determinare la causa principale. Avrei anche eseguito uno scanner di vulnerabilità sul tuo sito (NetSparker, Acunetix, Owasp ZAP o Vega).

    
risposta data 22.11.2017 - 20:01
fonte

Leggi altre domande sui tag