服务器可能遭到破坏 – c99madshell

因此,我们一直在为客户托pipe的遗留网站有一个FCKEditor版本,允许有人将可怕的c99madshell漏洞上传到我们的虚拟主机上。

我不是一个很大的安全问题 – 坦率地说,我只是一个由于人员stream失而负责S / A职责的开发人员。 因此,我很乐意帮助服务器人员评估漏洞造成的危害。

给你一些信息:

该文件被上传到webroot目录“/ _img / fck_uploads / File /”中。 Apache用户和组是受到限制的,因此他们无法login,并且没有我们服务站点的目录之外的权限。

所有的文件有770个权限(用户rwx,组rwx,其他没有) – 我想修复,但被告知暂缓,因为它不是“高优先级”(希望这会改变这一点)。 所以黑客似乎可以轻松执行脚本。

现在我无法真正findc99madshell.php本身 – 只有一些其他的HTML文件包含俄文文本和一些.xl和.html文件与内嵌PHP是madshell黑客的翻译。 但是,经过一番研究,看起来黑客在执行后会破坏自己 – 非常棒。

无论如何,我最初的评估是这样的:

  • 没有必要重build整个主机,因为给予了隔离的Apache用户/组,他们不应该能够获得系统级密码。

  • 有必要通过限制上传不具有执行权限,更新FCKEditor版本来更正原始的攻击目标,并在上传目录中添加拒绝执行PHP脚本的服务器级configuration来修复此漏洞。

  • 我应该更改应用程序的数据库密码,因为数据库连接的configuration文件位于web根目录下,黑客很可能已经抓住了它并使用数据库密码。

无论如何,请提供任何关于我应该告诉老板的意见。 显然,避免重build整个主机是理想的select – 但是如果这就是我们必须采取的措施,以确保我们不会运行被黑客攻击的机器,那么这将是什么。

我非常感谢你们的帮助。 也不要犹豫,要求更多的信息(我很乐意运行命令/与你们合作评估损失)。 该死的黑客:(。

显然,正如其他人所说,官方“安全”的回应将是重build机器。

情况的现实可能会阻止这种情况。 你可以运行一些东西来检查妥协:

  • Chkrootkit – testing服务器受到危害的常见迹象
  • 如果rpm系统,'rpm -Va | grep 5'将检查所有rpm安装的二进制文件,并且如果MD5总和已经改变则报告“5”。 如果发现有任何不一致的地方,则说明必须重build。
  • 在/ tmp中查看任何可疑内容。
  • 检查“ps传真”是否有exception的程序。 如果'ps'受到威胁或者通过其他技术,您仍然可能隐藏进程正在运行。
  • 如果您在search中发现了除apache之外的所有权的文件,那么您的系统帐户肯定会受到影响,您需要重新构build。

对您的系统configuration进行更正:

  • 如果可能,禁用FCKeditor上传
  • 确保你的临时目录是NOEXEC,以防止程序执行它们
  • 任何PHP脚本应该是最新的
  • 如果你想要安装mod_security来寻找PHP脚本运行时的漏洞

有很多东西我错过了,但这些将是我会采取的第一步。 取决于你在服务器上运行的是什么以及它的安全性的重要性(你是否处理CC交易?)重build可能是必要的,但是如果它是一个“低安全性”的服务器,你可能会检查以上。

你得重build主机。 您不知道他们对主机使用了哪种特权升级攻击,您也绝对不能确定没有安装特洛伊木马,键盘logging器或rootkit。

一旦受到威胁,除了裸机重build之外,没有别的select。

总之 – 我会重build服务器。

如果他们有权访问本地用户(现在他们已经作为apache用户访问),他们可以运行本地漏洞。 所以你应该考虑到整个服务器是被攻破的。 你也应该检查其他服务器。

你运行什么样的分布? 如果是基于rpm,则可以检查文件的签名。 启动安装CD并运行rpm -V打开以检查软件包。

首先。 不要信任压缩的服务器。

即使你认为你已经获得了机器,脚本小子也不是愚蠢的,有可能是安装了后门的地方。 用户/组在获得shell之后几乎没有什么区别。

备份您的文件,实施所有密码的更改。

我知道这不是你喜欢听到的,但我真的会build议备份数据,重build服务器,并重新导入所有的数据。

另外请务必通过其他网站检查,以确保这一个不是唯一受黑客影响的网站。 如果所有服务器的脚本都以一个Apache用户的nodoby运行( nodoby / www_data / what-ever-your-distro-uses),那么写入一个站点的任何东西几乎都可以写入其他站点。

除了更改所有密码之外,还要确保服务器上的任何SSH密钥在所有其他服务器上都是无效的(例如,撤销存储的公钥而不是只删除私钥)以及您可能拥有的任何其他系统通过该服务器input密码(或在文件中存储密码),密码被更改。