因此,我们一直在为客户托pipe的遗留网站有一个FCKEditor版本,允许有人将可怕的c99madshell漏洞上传到我们的虚拟主机上。
我不是一个很大的安全问题 – 坦率地说,我只是一个由于人员stream失而负责S / A职责的开发人员。 因此,我很乐意帮助服务器人员评估漏洞造成的危害。
给你一些信息:
该文件被上传到webroot目录“/ _img / fck_uploads / File /”中。 Apache用户和组是受到限制的,因此他们无法login,并且没有我们服务站点的目录之外的权限。
所有的文件有770个权限(用户rwx,组rwx,其他没有) – 我想修复,但被告知暂缓,因为它不是“高优先级”(希望这会改变这一点)。 所以黑客似乎可以轻松执行脚本。
现在我无法真正findc99madshell.php本身 – 只有一些其他的HTML文件包含俄文文本和一些.xl和.html文件与内嵌PHP是madshell黑客的翻译。 但是,经过一番研究,看起来黑客在执行后会破坏自己 – 非常棒。
无论如何,我最初的评估是这样的:
没有必要重build整个主机,因为给予了隔离的Apache用户/组,他们不应该能够获得系统级密码。
有必要通过限制上传不具有执行权限,更新FCKEditor版本来更正原始的攻击目标,并在上传目录中添加拒绝执行PHP脚本的服务器级configuration来修复此漏洞。
我应该更改应用程序的数据库密码,因为数据库连接的configuration文件位于web根目录下,黑客很可能已经抓住了它并使用数据库密码。
无论如何,请提供任何关于我应该告诉老板的意见。 显然,避免重build整个主机是理想的select – 但是如果这就是我们必须采取的措施,以确保我们不会运行被黑客攻击的机器,那么这将是什么。
我非常感谢你们的帮助。 也不要犹豫,要求更多的信息(我很乐意运行命令/与你们合作评估损失)。 该死的黑客:(。
显然,正如其他人所说,官方“安全”的回应将是重build机器。
情况的现实可能会阻止这种情况。 你可以运行一些东西来检查妥协:
对您的系统configuration进行更正:
有很多东西我错过了,但这些将是我会采取的第一步。 取决于你在服务器上运行的是什么以及它的安全性的重要性(你是否处理CC交易?)重build可能是必要的,但是如果它是一个“低安全性”的服务器,你可能会检查以上。
你得重build主机。 您不知道他们对主机使用了哪种特权升级攻击,您也绝对不能确定没有安装特洛伊木马,键盘logging器或rootkit。
一旦受到威胁,除了裸机重build之外,没有别的select。
总之 – 我会重build服务器。
如果他们有权访问本地用户(现在他们已经作为apache用户访问),他们可以运行本地漏洞。 所以你应该考虑到整个服务器是被攻破的。 你也应该检查其他服务器。
你运行什么样的分布? 如果是基于rpm,则可以检查文件的签名。 启动安装CD并运行rpm -V打开以检查软件包。
首先。 不要信任压缩的服务器。
即使你认为你已经获得了机器,脚本小子也不是愚蠢的,有可能是安装了后门的地方。 用户/组在获得shell之后几乎没有什么区别。
备份您的文件,实施所有密码的更改。
我知道这不是你喜欢听到的,但我真的会build议备份数据,重build服务器,并重新导入所有的数据。
另外请务必通过其他网站检查,以确保这一个不是唯一受黑客影响的网站。 如果所有服务器的脚本都以一个Apache用户的nodoby
运行( nodoby
/ www_data
/ what-ever-your-distro-uses),那么写入一个站点的任何东西几乎都可以写入其他站点。
除了更改所有密码之外,还要确保服务器上的任何SSH密钥在所有其他服务器上都是无效的(例如,撤销存储的公钥而不是只删除私钥)以及您可能拥有的任何其他系统通过该服务器input密码(或在文件中存储密码),密码被更改。