Se encontraron 0000 archivos de permisos en un servidor pirateado

Navega tus respuestas
0

Ha sido una semana larga intentando, a veces cuando puedo, averiguar qué está sucediendo en un servidor / sitio web que estoy manteniendo. El sitio fue hackeado previamente, supuestamente limpiado por propietarios anteriores, y luego de transferirlo, en cuestión de horas, fue hackeado nuevamente.

De todos modos, la pregunta: si hay 0000 archivos de permisos en el servidor, ¿puedo asumir que el hacker tiene acceso de root?

(Ni siquiera tengo acceso de root ...)

Para mayor claridad de un comentario a continuación: "Pero lo que quise decir fue: ¿por qué un intruso haría un archivo 0000? Me imagino que querrían acceder al archivo en algún momento. Así que si hicieran este archivo, lo haría ¿Imagina que sería seguro adivinar que tienen acceso de root? "

[ACTUALIZACIÓN] En caso de que no estuviera claro, este sitio comenzó a funcionar desde otro servidor aproximadamente a mediados de mayo. Regresé y revisé los registros, y unas horas después de que el sitio se activó, vi un POST sospechoso en una url de aplicación que debería haber devuelto un 404. Al revisar, ese archivo era una puerta trasera; fue marcado al mismo tiempo que el resto de los archivos. Por lo tanto, es seguro asumir que el sitio nos llegó a puerta trasera (otras puertas traseras tenían marcas de tiempo más recientes). Así que he rastreado los archivos de registro y escaneado los directorios y encontré las puertas traseras.

Estaremos configurando una nueva cuenta para este sitio y revisaremos los archivos limpios. Todavía estoy confirmando con los antiguos administradores, pero parece que pensaron que el hackeo estaba confinado al 'blog' (WP) y no había revisado la aplicación del sitio principal por maliciosos ...

    
pregunta Mike 03.06.2016 - 18:15
fuente

1 respuesta

5

Si su servidor ha sido comprometido, entonces asuma que tienen acceso de root . Incluso si parece que eliminó los scripts de shell ofensivos (lo que muchas veces es todo lo que implica la "limpieza"), es completamente posible que profundicen en el sistema. No tiene idea de qué explotaciones existen para el software del servidor, por lo que es totalmente posible que la carga de un script de shell php simple pueda llevar a un compromiso completo del sistema operativo o, lo que es peor.

Usted tiene razón en que los permisos 000 solo permitirían que un superusuario (la raíz es, de manera predeterminada, un superusuario) para realizar cambios en ese archivo. Sin embargo, tenga en cuenta que un no-superusuario podría eliminar el archivo y cargar su propia copia en su lugar, siempre y cuando tengan permisos de escritura y ejecución en el directorio que lo contiene.

En cuanto a por qué podrían hacer esto, realmente depende del contexto del archivo en cuestión. En gran parte, podría dividirse en dos categorías:

  • El archivo está destinado a ser bloqueado y dejado solo.
    • Es probable que esto provoque una denegación de servicio a cualquier cosa que dependa de ese archivo.
    • Esto también podría ser un intento de poner en cuarentena el archivo, sin necesariamente eliminarlo. Luego, el superusuario podría abrir el archivo de forma segura (leer) para investigarlo, enviarlo a otro servicio para su análisis, etc ...
  • El archivo debe estar bloqueado por ahora .
    • Con los derechos de superusuario, el atacante podría cambiar los permisos para ejecutar el archivo.
    • Sin los derechos de superusuario, el atacante podría luego eliminar el archivo y reemplazarlo por el suyo.

Hablando de manera realista, tengo dudas de que te volverían a hackear de la misma manera obvia si tuvieran una mayor penetración en tu servidor. Por otro lado, no tenemos idea de qué tipo de mezcla de explotaciones tienen a su disposición en la segunda ronda, o en el futuro, mientras tengan acceso. Por lo tanto, es más seguro asumir el peor de los casos hasta que se demuestre lo contrario.

Si bien podemos adivinar por qué estamos viendo este comportamiento específico, no creo que valga la pena su tiempo para investigarlo personalmente. Póngase en contacto con su proveedor de alojamiento, hágales saber lo que sucedió (también conocido como lo que nos describió aquí) y deje que lo investiguen. Podrían tener a su disposición registros / auditorías adicionales, y si todo esto falla, podrían aplicar el enfoque LOIC estándar a los sistemas comprometidos.

    
respondido por el Thebluefish 03.06.2016 - 20:43
fuente

Lea otras preguntas en las etiquetas

Metodologías de prueba de penetración Paquetes SSL / TLS legibles por humanos