analizando el registro del sitio web pirateado: ¿hay algún enlace entre ./etc y ./tmp al cargar archivos? [cerrado]

1

Uno de mis amigos fue hackeado y me pidió ayuda. Este tipo tenía un único servidor compartido y subió como 20 sitios web y uno de ellos fue pirateado y ahora todos están llenos de conchas.

Pedí una lista de archivos que se crearon o modificaron en el servidor y obtuve la lista a continuación.

El nombre de shell es accesson.php en el que aparece por primera vez en

./etc/assets/images/accesson.php

y luego en

./tmp/assets/images/accesson.php

log:

./etc
./etc/newsss.com
./etc/shsh.com
./etc/nck.com
./etc/pvf.com
./etc/pvf.com/@pwcache/info
./etc/lck.com
./etc/assets
./etc/assets/images
./etc/assets/images/accesson.php
./tmp
./tmp/assets
./tmp/assets/images
./tmp/assets/images/accesson.php
./mail
./mail/new
./mail/tmp
./mail/assets
./mail/assets/images
./mail/assets/images/accesson.php



./public_html
./public_html/images/2017/01/162210999.jpg.CROP_.cq5dam_web_1280_1280_jpeg-280x200.jpg
./public_html/wp-content/plugins
./public_html/.ftpquota
./public_html/backlinks/error_log
./public_html/app/images
./public_html/app/images/css_sprites.png
./public_html/app/index.php
./public_html/assets
./public_html/assets/images
./public_html/assets/images/accesson.php
./public_ftp
./public_ftp/assets
./public_ftp/assets/images
./public_ftp/assets/images/accesson.php

 ./irso.com
./irso.com/.ftpquota
./irso.com/wp-content/plugins
./irso.com/wp-content/themes
./irso.com/assets
./irso.com/assets/images
./irso.com/assets/images/accesson.php

./ncl2.com
./ncl2.com/assets
./ncl2.com/assets/images
./ncl2.com/assets/images/accesson.php
./cache
./cache/assets
./cache/assets/images
./cache/assets/images/accesson.php
./ssl
./ssl/assets
./ssl/assets/images
./ssl/assets/images/accesson.php


./efr.com
./efr.com/.ftpquota
./efr.com/assets
./efr.com/assets/images
./efr.com/assets/images/accesson.php

Parece que accesson.php se ha propagado a través de todos los directorios. Lo interesante es que se ha creado con su directorio /assets/images/ incluso en el /tmp .

Pensé que ya que los primeros apaciguadores en ./tmp deben cargarse a través de algún error ya que todos los archivos subidos primero van a ./tmp , pero ¿qué hay de eso ./etc ? Es incluso antes de ./tmp ¿Hay un enlace entre los dos?

Agradecería cualquier sugerencia.

    
pregunta hretic 05.05.2018 - 16:37
fuente

1 respuesta

1

(Eliminé mi respuesta en SO ya que probablemente se cerrará)

etc es un directorio sugerente para atacar, ya que debe ser propiedad de root y no debe ser escrito por nadie más.

$ ls -alZ / | grep tmp
drwxr-xr-x. root root system_u:object_r:etc_t:s0       etc

Lo sabes, pero solo digo que es sugestivo porque no veo ninguna razón por la que debería ser escribible. Es probable que la secuencia de comandos solo esté golpeando y tratando de escribir en cualquier parte del sistema de archivos, tal vez el programa comprometido tenga permisos de escritura en / etc /, probablemente para que pueda alterar su propio archivo de configuración ... o configuración incorrecta en / etc / .

Mi pequeño script aquí es torpe y solo crea el directorio, pero muestra lo que quiero decir acerca de la paliza:

find / -maxdepth 2 -type d -exec mkdir -p '{}'\/assets\/images \;

tmp es un buen objetivo inicial para el malware porque todos tienen permiso de escritura allí y esos archivos se pueden ejecutar, aunque con permisos limitados.

$ ls -alZ / | grep tmp
drwxrwxrwt. root root system_u:object_r:tmp_t:s0       tmp

La infracción parece un intento de escalamiento porque si hubiera acceso de root no habría ninguna razón para escribir en tmp o thrash, y los registros podrían limpiarse. Un buen comienzo es habilitar selinux para que los archivos que no están en ubicaciones específicas para ejecutables no puedan ejecutarse. Selinux también habría evitado muchas de las palizas.

No sé acerca de efr, irso, nc12, pero los permisos de escritura a ssl son definitivamente malos y no están bien configurados. Supongo que la entrada se realizó a través de un script de php torpe basado en los cambios adicionales a public_html (index.php), eso es solo una conjetura.

    
respondido por el flerb 05.05.2018 - 18:16
fuente

Lea otras preguntas en las etiquetas