Apache-2.2

伺服器可能受到威脅——c99madshell

  • April 3, 2015

所以,瞧,我們一直在為客戶託管的舊網站有一個 FCKEditor 版本,它允許某人將可怕的 c99madshell 漏洞上傳到我們的網路主機上。

我不是一個大的安全愛好者——坦率地說,由於人員流失,我只是一個目前負責 S/A 職責的開發人員。因此,我很樂意為您的伺服器故障提供任何幫助來評估漏洞利用造成的損害。

給你一點資訊:

該文件已上傳到 webroot 中的目錄“/_img/fck_uploads/File/”。Apache 使用者和組受到限制,因此他們無法登錄,並且在我們為站點提供服務的目錄之外沒有權限。

所有文件都有 770 個權限(使用者 rwx,組 rwx,其他無)——我想修復但被告知推遲,因為它不是“高優先級”(希望這會改變)。所以看起來黑客可以很容易地執行這個腳本。

現在我無法真正找到 c99madshell.php 本身——只有一堆其他包含俄語文本的 HTML 文件和一些帶有內聯 PHP 的 .xl 和 .html 文件,它們是 madshell hack 的再現。然而,經過一番研究,看起來黑客在執行後會自行破壞——太好了。

無論如何,我最初的評估是這樣的:

  • 沒有必要重建整個主機,因為 apache 使用者/組的隔離,他們不應該能夠獲得系統級密碼。
  • 修復此漏洞需要通過限制上傳不具有執行權限、更新FCKEditor版本以更正原始利用目標,並在上傳目錄中添加拒絕執行PHP腳本的伺服器級配置。
  • 我應該更改應用程序的數據庫密碼——考慮到數據庫連接的配置文件位於 web 根目錄中,黑客很可能已經抓住了它並使用了數據庫密碼。

無論如何,請提供你們對我應該告訴老闆的任何意見。顯然,避免重建整個主機是理想的——但如果這是我們必須採取的措施以確保我們沒有執行被黑客入侵的機器,那麼這就是它將採取的措施。

我真的很感謝你們的幫助。也不要猶豫詢問更多資訊(我很樂意執行命令/與你們一起評估損失)。該死的黑客:(。

顯然,正如其他人所說,官方的“安全”響應將是重建機器。

現實情況可能會阻止這種情況。您可以執行一些操作來檢查是否存在妥協:

  • Chkrootkit - 測試伺服器被入侵的常見跡象
  • 如果是 rpm 系統,‘rpm -Va|grep 5’ 將檢查所有 rpm 安裝的二進製文件,如果 MD5 總和已更改,則報告“5”。如果您發現任何未在自定義二進製文件中解釋的不一致,則需要重新建構。
  • 在 /tmp 中查找任何可疑的內容。
  • 檢查“ps 傳真”是否有任何異常程序。如果“ps”被破壞或通過其他技術,您仍然可以執行隱藏程序。
  • 如果您在搜尋中發現任何擁有 apache 以外所有權的文件,那麼您的系統帳戶肯定已被盜用,您需要重建。

對您的系統配置進行的更正:

  • 如果可能,禁用 FCKeditor 上傳
  • 確保將您的臨時目錄設為 NOEXEC,以防止程序從它們中執行
  • 任何 php 腳本都應該是最新的
  • 如果你想花哨的安裝 mod_security 在 php 腳本執行時尋找漏洞

我錯過了很多東西,但這些將是我要採取的第一步。根據您在伺服器上執行的內容及其安全性的重要性(您是否處理 CC 事務?)可能需要重新建構,但如果它是“低安全性”伺服器,您可能可以檢查上述內容。

引用自:https://serverfault.com/questions/104721