Yo uso VPS hosting. Instale CentOS 6 y ZPanel de acuerdo con este tutorial enlace
Se recibió una advertencia del proveedor de alojamiento: Esta URL se ha identificado como un sitio de phishing y actualmente está involucrada en actividades de robo de identidad. URL: hxxp: //111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/ (url aquí y además están un poco modificados)
Archivos del servidor descargados a la computadora local. Se buscó itunes
. Se encontraron registros como estos
\var\log\httpd\access_log
111.11.160.253 - - [20/Oct/2013:15:18:07 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "curl/7.18.2 (i486-pc-linux-gnu) libcurl/7.18.2 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.10"
11.111.144.148 - - [20/Oct/2013:15:30:13 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.1" 200 1326 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows\t\t\t\t\tNT 5.2)"
11.111.33.36 - - [14/Oct/2013:03:26:49 -0400] "POST /www.connet-itunes.fr/iTunesConnect.woasp/inscription/ HTTP/1.1" 200 13392 "http://176.56.238.177/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.50.2 (KHTML, like Gecko) Version/5.0.6 Safari/533.22.3"
\var\zpanel\logs\domains\zadmin\mydomainname.com-error.log 1 443,00 KB 23.10.2013 09:12:56
[Tue Oct 15 02:47:30 2013] [error] [client 11.11.253.220] File does not exist: /var/zpanel/hostdata/zadmin/public_html/mydomainname_com/www.connet-itunes.fr, referer: http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/
\var\var\zpanel\logs\domains\zadmin\mydomainname.com-access.log 111,00 KB 23.10.2013 09:12:56
11.11.253.220 - - [15/Oct/2013:02:47:30 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 - "http://www.mydomainname.com/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"
\var\zpanel\logs\domains\zadmin\anotherdomain.lv-access.log 4 386,00 KB 23.10.2013 14:02:56
11.11.164.110 - - [15/Oct/2013:02:47:36 -0400] "GET /www.connet-itunes.fr/iTunesConnect.woasp/ HTTP/1.0" 404 42823 "http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"
\var\zpanel\logs\domains\zadmin\anotherdomain.lv-error.log 196,00 KB 23.10.2013 12:41:40
[Tue Oct 15 02:47:36 2013] [error] [client 11.11.164.110] File does not exist: /var/zpanel/hostdata/zadmin/public_html/anotherdomain_lv/www.connet-itunes.fr, referer: http://www.anotherdomain.lv/www.connet-itunes.fr/iTunesConnect.woasp/
\var\log\httpd\error_log 36,00 KB 23.10.2013 13:08:36
[Tue Oct 15 03:50:03 2013] [error] [client 11.111.23.90] Directory index forbidden by Options directive: /etc/zpanel/panel/www.connet-itunes.fr/
[Tue Oct 15 05:28:28 2013] [error] [client 11.111.140.53] File does not exist: /etc/zpanel/panel/favicon.ico, referer: http://111.11.238.177/www.connet-itunes.fr/iTunesConnect.woasp/
[Sat Oct 19 17:46:38 2013] [error] [client 5.49.165.166] PHP Notice: Undefined index: donnee2 in /etc/zpanel/panel/www.connet-itunes.fr/iTunesConnect.woasp/inscription/index.php on line 277
Se encontró un archivo (virustotal.com identificado como PHP:Shell-BH [Trj]
, PHP/BackDoor.BT
, VEX16c0.Webshell
, PHP/PhpShell.NAJ
, Backdoor:PHP/Shell.Q
). El uso de ese pirata informático parece tener un control total de los archivos del servidor (ver, eliminar, cargar, modificar); Revisé el archivo en la computadora local (wamp).
Pero de todo lo anterior no tengo idea de dónde está el agujero de seguridad. La ubicación de ese archivo fue etc/zpanel/panel/bin/
. ¿Significa que el hacker hackeado ZPanel? Encuentre una discusión relacionada aquí enlace Pero no hay solución. Indique qué pasos deben seguirse para identificar los agujeros de seguridad