forzar la carga de un archivo a un servidor con un puerto abierto [duplicado]

0

Recientemente mi servidor web fue hackeado. alguien subió un gestor de archivos php llamado extplor y cambió todas mis páginas web y me preguntaba qué formas podrían haber cargado algo en mi servidor sin acceso directo a él. Sé que a veces se puede ejecutar un script php en una página web de servidores si no está diseñado correctamente, pero no tenía puntos de entrada como ese y acabo de instalar php en caso de que lo necesitara. No lo estaba usando en ningún lugar y no tenía nada más instalado en ese sistema. No había ftp ni ssh. ¿Existen otros métodos que el atacante podría utilizar para obtener esos archivos en el directorio raíz de mi servidor?

    
pregunta Nicholas Hendricks 22.11.2017 - 17:23
fuente

3 respuestas

0

Como @SmokeDispenser se menciona en el comentario, esta es una pregunta muy amplia, por lo que la lista a continuación es muy general.

  • Credenciales robadas: debe poder actualizar los archivos PHP usted mismo, por lo que necesita algún tipo de interfaz para hacerlo. Es posible que un atacante haya robado esas credenciales y haya usado la interfaz como lo hizo usted.
  • Error de ejecución remota de código: es posible que su código tenga un error que permita a los usuarios ejecutar código arbitrario, y el atacante lo explotó para descargar el archivo al servidor. Si está utilizando un marco, como Wordpress, cakePHP, etc., el error podría existir en ese software.
  • Otra con otra aplicación en el sistema que le permitió al usuario obtener acceso al sistema de archivos.

Los dos primeros elementos son los vectores de ataque más probables. ¿Conoces al propietario original del archivo? Esa podría ser la mejor pista de cómo se creó ese archivo.

    
respondido por el user52472 22.11.2017 - 17:57
fuente
0

Podría haber sido fácilmente un error o falta de configuración de apache que les permitió ingresar.

Podría estar ejecutando una versión antigua de apache con vulnerabilidades desconocidas. Podría ser un error de día cero.

Tal vez haya una vulnerabilidad del kernel, no tenemos idea de qué kernel está usando, ya sea que podría ser super viejo.

El búfer sobre las ejecuciones es una excelente forma de inyectar el código que deseas ejecutar, que luego abre vectores de ataque adicionales.

    
respondido por el cybernard 22.11.2017 - 19:56
fuente
0

También podría ser un camino de ataque transversal. El atacante accede a una página legítima del servidor web e intenta poner esto en la url "../../../system.ini" como ejemplo, encuentra que tiene acceso al directorio y / o al archivo de configuración del servidor y subió su archivo malicioso Debe revisar los registros para determinar la causa raíz. También ejecutaría un escáner de vulnerabilidades en su sitio (NetSparker, Acunetix, Owasp ZAP o Vega).

    
respondido por el f3rr4r1_r3d 22.11.2017 - 20:01
fuente

Lea otras preguntas en las etiquetas