WSO 2.5 Найдено на Apache


1

Я нашел на своем веб-сервере файл wp-conf.php, который, когда вы вызываете его из браузера с параметром url, например wp-conf.php? T7831n = любое значение показывает интерфейс где вы можете управлять всем сервером. Я использую Joomla 1.5 на сервере, у которого много уязвимостей.

Код для этого ООЙ вещи, которую я декодированного можно увидеть here

Кроме перехода на новую версию Joomla, я хотел бы, чтобы убедиться, что все каталоги от любых вредоносных файлов. Я бегу чкрооткит, и он говорит, что все в порядке. Кроме того, какие правильные разрешения должны быть в каталоге/var/www. После прочтения нескольких сообщений у меня теперь их 755 (за исключением темпа, который нужен 777), а владелец - основной пользователь с www-данными владельца группы, частью которого является основной пользователь.

Любая помощь/понимание очень ценится. Сервер запущен ubuntu 10.04 и полностью исправлен. Спасибо

0

Прежде всего: запретите любые сетевые соединения в/из через iptables, кроме ssh. шанс, что ваш сервер уже является частью ботнета.

работает устаревший $ все, что плохо, как вы испытали, см [1], [2]

для второй части: вы не знаете, если файлы были изменены и злонамеренный материал включен, или какой-либо скрытый файл упал в ваш DOCROOT. однако поиск такого материала требует некоторого опыта. вы shoudl также проверяете/tmp для скрытых каталогов или свою сетевую конфигурацию.

что вы можете сделать: захватить чистые источники joomla и выполнить настройку с вашей базой данных; но проверьте свою базу данных на то, что там не принадлежит.

вы можете проверить свой сайт sucuri или ваш сервер-ip с robtex, чтобы увидеть, если ваш сайт уже известен как плохой; Google-safebrowsing может дать другой намек. и у google есть страница, которая поможет/информирует таких людей, как вы: here

Вы также должны проверить свои журналы для этого ip, которые обратились к этому wp-conf.php.

  0

Я проверил ссылки. Теперь сервер отправляет случайные письма. Я установил на него нульмер и отключил его, чтобы вся почта просто попала в очередь. Есть ли способ увидеть, откуда генерируются письма? 14 авг. 132013-08-14 20:14:33

  0

у вас, вероятно, работает irc-bot или скрытый php-backdoor. отключите ваш сервер. 15 авг. 132013-08-15 11:12:20

  0

Я не думаю, что ваше решение является приемлемым ответом на этом форуме. Отключить мой сервер? В любом случае я использую это сейчас [ссылка] (http://www.cirt.net/nikto2) 16 авг. 132013-08-16 20:53:55