WSO 2.5 Apacheで見つかった


1

wp-conf.phpのようなURLパラメータでブラウザから呼び出すとwp-conf.phpファイルが見つかりましたか?t7831n = 任意の値は、サーバー全体を制御することができます。私は多くの脆弱性を持つサーバーでJoomla 1.5を使用しています。

私はJoomlaのの新しいバージョンへの移行のほかに

hereを見ることができ、デコードこのWSOの事のためのコードは、私はすべてのディレクトリが悪意のあるファイルのクリーンであることを確認したいと思います。私はchkrootkitを実行し、それはすべてが問題ないと言います。また、/ var/wwwディレクトリにある正しいアクセス許可は何でしょうか。かなりの数の記事を読んだ後、私は755(777を必要とする一時的なものを除いて)を今持っています、そして、主なユーザがグループの所有者であるwww-データの主なユーザです。

助力や洞察力があれば幸いです。サーバはubuntu 10.04を実行しており、完全にパッチされています。ありがとう

0

まず、ssh以外のiptables経由でネットワーク接続を許可しないでください。あなたのサーバーはすでにボットネットの一部であるという可能性があります。悪いものは何でも時代遅れ$を実行している

は、あなたが経験したように、あなたの第二部のため[1][2]

を参照してください:あなたは、ファイルが変更された場合は知らないし、悪質なものが含まれ、または任意の隠しファイルがあなたのドキュメントルート内に落下しました。そのようなものを見つけることはいくつかの経験が必要です。あなたは隠しディレクトリの/ tmpやネットワーク設定の もチェックしてください。

あなたができること:joomla-sourcesをきれいにして、あなたのデータベースでセットアップしてください。そこに所属していないものをデータベースでチェックしてください。

sucuri またはrobtexを使用してサーバーipを確認して、サイトが既に悪いと判断された場合は表示してください。 google-safebrowsingは別のヒントを与えるかもしれません。 とgoogleにはあなたのような人々を助ける/知らせるためのページがあります:here

また、ログにそのwp-conf.phpにアクセスしたIPアドレスも確認する必要があります。

  0

リンクを確認しました。今、サーバーはランダムな電子メールを送信しています。すべてのメールがキューに入るように、nullmailerをインストールして無効にしました。メールの生成場所を確認する方法はありますか? 14 8月. 132013-08-14 20:14:33

  0

おそらく、irc-botが動作しているか、隠れたphpバックドアがあります。サーバーをオフラインにしてください。 15 8月. 132013-08-15 11:12:20

  0

私はあなたのソリューションがこのフォーラムで受け入れられる答えだとは思わない。私のサーバーをオフラインにしますか?とにかく私はこれを現在使っています[link](http://www.cirt.net/nikto2) 16 8月. 132013-08-16 20:53:55