Tôi tìm thấy một tập tin php được tải lên máy chủ web của chúng tôi đã lén qua quá trình xác nhận mẫu của chúng tôi. Tôi đã thực hiện một số tìm kiếm và có rất ít thông tin liên quan đến tập tin này, tuy nhiên số lượng nhỏ tôi tìm thấy chắc chắn làm cho nó có vẻ độc hại.
Đây là nội dung của tệp: http://pastebin.com/zfbHMe9M
Tập tin này đã cố gắng để đạt được điều gì? Có bất cứ điều gì tôi nên kiểm tra hoặc quan tâm? Tôi đã xóa các tập tin từ trang web của tôi.
Câu trả lời:
Đó là một kịch bản để tải lên nhiều tệp hơn trên máy chủ.
Mã trông quen thuộc với tôi, vì vậy tôi đã lấy một trong các chuỗi trong đó: đó là phiên bản sửa đổi của mã tải lên tệp PHP mẫu từ trang này . Tuy nhiên, không giống như mã mẫu, phiên bản sửa đổi đặt $uploaddirbiến cho cùng một thư mục mà nó chạy từ đó, vì vậy bất kỳ ai sử dụng nó đều có thể tải lên nhiều tệp hơn vào cùng thư mục (và thậm chí ghi đè lên tập lệnh bằng thứ khác, nếu họ muốn).
Thật kỳ lạ, tập lệnh dường như không cho phép tải tệp lên bất kỳ thư mục nào khác ngoài thư mục được đặt. Tuy nhiên, nếu kẻ tấn công quản lý để tải tập lệnh này lên trang web của bạn và thực thi nó, điều đó có nghĩa là chúng có thể chạy được bất kỳ tập lệnh nào khác họ cũng tải lên bằng cách sử dụng nó.
Về việc bạn có nên quan tâm (và bao nhiêu) hay không, điều đó phụ thuộc vào việc kẻ tấn công có thực sự quản lý để chạy tập lệnh hay không. Thực tế là nó đã được tải lên không nhất thiết có nghĩa là cuộc tấn công đã thành công, nếu quyền truy cập tệp hoặc cấu hình máy chủ web đã ngăn máy chủ thực thi nó dưới dạng mã PHP. Tuy nhiên, sự hiện diện của tập lệnh trên máy chủ của bạn ít nhất có nghĩa là ai đó đã cố gắng hack vào nó.
Có bạn nên quan tâm. Bạn cần xem lại access_log của máy chủ web và tìm kiếm tên tệp đã được tải lên và xem liệu nó có được liên kết với mã trạng thái 200 không. Nếu có, sẽ có một địa chỉ IP được liên kết với nó. Lấy địa chỉ IP đó và tìm kiếm access_log hơn nữa để xem những gì khác trên máy chủ mà địa chỉ IP được truy cập. Tốt nhất là tìm kiếm toàn bộ phạm vi thay vì chỉ một địa chỉ IP.
Phạm vi Ví dụ: 123.12,14.xxx thay vì 123.12,14.15
Điều quan trọng là xác định xem họ có quản lý để tải lên bất kỳ tệp nào khác trên máy chủ có quyền nâng cao hay không.
Trên tất cả các trang web WordPress của tôi, tôi sử dụng một plugin có tên là trình giám sát tệp WordPress http://wordpress.org/extend/plugins/wordpress-file-monitor/ email này cho tôi bất cứ khi nào tệp được sửa đổi trên máy chủ.
Tôi luôn cập nhật các plugin và ứng dụng cốt lõi, quét các lỗ hổng và sử dụng plugin theo dõi tệp chỉ trong trường hợp có một số cuộc tấn công XSS. Thông thường, đó là một plugin có một số lỗ hổng.
Nếu trang web của bạn chạy WordPress, tôi sẽ đề xuất sử dụng plugin để nhận email ngay khi có bất kỳ tệp nào được thêm hoặc sửa đổi vào máy chủ của bạn.
Nếu bạn không chạy WordPress, hãy yêu cầu các nhà phát triển của bạn triển khai PHPIDS https://phpids.org/