¿Qué se hizo para obtener una lista de las cuentas del directorio principal?

Navega tus respuestas
2

Hoy en día, algunos sitios fueron borrados en nuestro VPS WHM / cpanel. Entiendo que la causa común de esto son scripts / plugins / etc desactualizados. Sin embargo, mientras revisaba el administrador de archivos de una de las cuentas, vi un .txt que contenía un montón de información sobre el servidor, incluida una lista de nombres de usuario de todas las cuentas dentro del directorio principal. Ahora empiezo a creer que el problema podría no ser una secuencia de comandos obsoleta, sino un agujero de seguridad en el propio servidor.

Aquí está la captura de pantalla del archivo:

Tenga en cuenta que la contraseña de root nunca se utilizó para iniciar sesión, ya que siempre se me notifica cuando sucede.

Mi pregunta es ¿cómo puede un hacker obtener esta información? El personal de administración del servidor interno donde alquilé el VPS solo dijo que se debía a un Wordpress / software desactualizado, pero no lo creo. Creo que esto es demasiada información para ser obtenida solo por un script desactualizado.

    
pregunta IMB 02.08.2012 - 10:16
fuente

3 respuestas

3

Por lo que puedo ver, parece que un pirata informático logró obtener acceso a su servidor, probablemente a través de algún tipo de vulnerabilidad.

El archivo de texto parece el resultado de un script de recopilación de información típico que se ejecutaría después de obtener acceso al servidor.

Con la información que proporcionó, es casi imposible determinar el vector exacto y el impacto del ataque. Debe consultar a una empresa de seguridad para determinar la escala y el impacto del ataque, así como los pasos que puede tomar para remediar la violación.

El atacante no es muy cuidadoso, ya que no borró el archivo de texto después de su ataque.

    
respondido por el Ayrx 02.08.2012 - 10:39
fuente
1

No suena como un enfoque razonable. Si desea saber qué está mal con su servidor y cómo se piratea, haga un análisis forense con un experto.

Quizás esto sea de su interés: Cómo piratear un panel de LFI exploit (desde mayo de 2012)

    
respondido por el Marcus 02.08.2012 - 10:34
fuente
0

No hay ninguna indicación de que se haya obtenido acceso de nivel raíz en el servidor. Todas esas cosas son visibles desde una cuenta de usuario restringida, como apache, o cualquier script PHP de cuenta de usuario que se ejecute. Encontraron una vulnerabilidad en uno de sus scripts PHP y obtuvieron acceso a la cuenta desde la que se ejecutan esos scripts.

    
respondido por el Alex Cannon 04.03.2018 - 21:58
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las vulnerabilidades de usar NFC en mi Samsung SGS3? Cómo hacer un comprobador de integridad de archivos simple