Uno de mis amigos fue hackeado y me pidió ayuda. Este tipo tenía un único servidor compartido y subió como 20 sitios web y uno de ellos fue pirateado y ahora todos están llenos de conchas.
Pedí una lista de archivos que se crearon o modificaron en el servidor y obtuve la lista a continuación.
El nombre de shell es accesson.php
en el que aparece por primera vez en
./etc/assets/images/accesson.php
y luego en
./tmp/assets/images/accesson.php
log:
./etc
./etc/newsss.com
./etc/shsh.com
./etc/nck.com
./etc/pvf.com
./etc/pvf.com/@pwcache/info
./etc/lck.com
./etc/assets
./etc/assets/images
./etc/assets/images/accesson.php
./tmp
./tmp/assets
./tmp/assets/images
./tmp/assets/images/accesson.php
./mail
./mail/new
./mail/tmp
./mail/assets
./mail/assets/images
./mail/assets/images/accesson.php
./public_html
./public_html/images/2017/01/162210999.jpg.CROP_.cq5dam_web_1280_1280_jpeg-280x200.jpg
./public_html/wp-content/plugins
./public_html/.ftpquota
./public_html/backlinks/error_log
./public_html/app/images
./public_html/app/images/css_sprites.png
./public_html/app/index.php
./public_html/assets
./public_html/assets/images
./public_html/assets/images/accesson.php
./public_ftp
./public_ftp/assets
./public_ftp/assets/images
./public_ftp/assets/images/accesson.php
./irso.com
./irso.com/.ftpquota
./irso.com/wp-content/plugins
./irso.com/wp-content/themes
./irso.com/assets
./irso.com/assets/images
./irso.com/assets/images/accesson.php
./ncl2.com
./ncl2.com/assets
./ncl2.com/assets/images
./ncl2.com/assets/images/accesson.php
./cache
./cache/assets
./cache/assets/images
./cache/assets/images/accesson.php
./ssl
./ssl/assets
./ssl/assets/images
./ssl/assets/images/accesson.php
./efr.com
./efr.com/.ftpquota
./efr.com/assets
./efr.com/assets/images
./efr.com/assets/images/accesson.php
Parece que accesson.php
se ha propagado a través de todos los directorios. Lo interesante es que se ha creado con su directorio /assets/images/
incluso en el /tmp
.
Pensé que ya que los primeros apaciguadores en ./tmp
deben cargarse a través de algún error ya que todos los archivos subidos primero van a ./tmp
, pero ¿qué hay de eso ./etc
? Es incluso antes de ./tmp
¿Hay un enlace entre los dos?
Agradecería cualquier sugerencia.