Mi foro estaba ejecutando MyBB 1.6.10 y maldet encontró un archivo JPG con el webshell by Orb código malicioso al final ( php.cmdshell.unclassed.352 ). Estoy usando nginx y me aseguré de que los archivos arbitrarios se procesaran como archivos PHP según esto guía .
Aún así, ¿cómo puedo comprobar si la vulnerabilidad se ha ejecutado desde el archivo JPG con formato incorrecto que el atacante cargó como su avatar?
Puede realizar una autoevaluación de la prueba mediante:
php en su caso, el archivo arbitrario jpeg en su navegador y vea si muestra o ejecuta un comando simple de Linux como ls . Ejemplo : diga que el archivo jpeg está en su <path>/uploads/ usted debe poder obtener un shell desde su navegador si ingresa http://yourSite.com/uploads/shell.jpeg
access: /var/log/nginx/access.log error: /var/log/nginx/error.log Ejemplo : cat /var/log/nginx/access.log | grep -i 'name_of_file.jpeg.php'
Nota: No desea eliminar el malware web hasta que vea lo que el cargador ha hecho o está haciendo en su servidor, para que pueda recuperarse de cualquier daño.
Publicar mitigación : después de mitigar el daño, corrija la vulnerabilidad de su aplicación actualizando para restringir quién puede cargar archivos. Además, es posible que desee deshabilitar la ejecución de PHP por completo en su carpeta /uploads/ (< a href="http://www.goitworld.com/disable-php-execute-of-special-directory-of-nginx/"> how? )