这涉及到我们必须处理的一个黑客事件。 黑客将一个php文件插入到我们的系统中。 有问题的目录确实从我们的cmsadmin接收上传(图片)。 但是,通过我们的cmsadmin上传的所有文件具有相同的所有者和权限( owner: theadminsname, permissions: 777 )。 另一方面,非法插入的文件拥有owner: apache, permissions: 644
我的问题:所有者和权限的这种差异是否提供了有关如何插入文件的任何线索? 如果他们已经通过我们的cmsadmin上传了文件,是不是和其他上传的文件拥有相同的所有者和权限? 所有者是apache的事实是否表明了一个不同的路线,或者他们是否只是将它改变为这个,因为这是一个常见的apache所有者的名字?
另一件事。 插入的文件被放置在我们的自定义cms的一部分。 然后,它为黑客提供了一个表格,用于更改第三方广告程序中的文件(等等)。 看起来很奇怪,他们会上传一个文件到我们自定义的cmsadmin(位于与广告系统完全不同的目录结构中,并且两者之间没有互操作性),然后用它来操作这个第三方广告程序。 cmsadmin和广告程序pipe理员处于不同的目录中,并且不以任何方式以编程方式连接。 这一切都让我怀疑,攻击不是通过我们的cmsadmin或广告系统的弱点进行的,而是通过虚拟主机的弱点进行的。
你们都在想什么?
当然,这个文件似乎已经通过web服务器上运行的代码上传了。 但是确保上传的内容是
1)与网站的其他部分保持分开
2)存储在明确configuration为防止执行的位置
是一个非常基本和基本的安全原则:这是你被黑客攻击的错。
所有者是apache的事实是否表明了一个不同的路线,或者他们是否只是将它改变为这个,因为这是一个常见的apache所有者的名字?
可能 – 这是什么操作系统? 如果你是root的话,你只能在Unix上创build一个文件 – 这意味着如果他们没有通过networking服务器上传它,那么他们有root权限 – 如果他们有root的话,为什么要留下这样一个混乱的线索?
cmsadmin和广告程序pipe理员在不同的目录中
所以呢? 除非他们在不同的服务器上,否则他们可以交互(甚至可以在不同的服务器上)。
C。
要知道设置的详细信息,我们很难说出任何信息。 有这么多的可能性,我们能做的最好的是猜测。
你可以做的最好的事情是试着了解发生了什么。 分析日志文件,看看是否有任何发生的痕迹。 正如你所提到的,它似乎不是一个职业的工作,但一些随机脚本小子甚至一些自动漏洞扫描器。
然后,在find你想要的之后,最好的办法是格式化磁盘并重新安装所有的东西。
对于将来,有些东西可以实现(或多或less),比如AIDE / tripwire,远程系统日志,更严格的防火墙规则(过滤入站和出站),更好的日志/审计跟踪和警报等入侵检测系统,定期人工审核和最佳实践审查,并使用漏洞扫描程序(如Nessus)。 但是,如果你是偏执的人,还有更多 – 渗透testing,DMZ,隔离networking,networkingACL,RSA安全令牌,SELinux / AppArmour,…你明白了。 这取决于你在哪里停止。
很多东西,我知道。 安全很难。