所以,你瞧,我們為客戶託管的一個舊網站有一個 FCKEditor 版本,讓某人將可怕的 c99madshell 漏洞上傳到我們的網站主機。
我不是一個大的安全愛好者——坦白說,我只是一名開發人員,目前由於人員流失而負責 S/A 職責。因此,我希望伺服器故障者能夠在評估漏洞造成的損害方面提供任何幫助。
給你一些資訊:
該檔案已上傳到 webroot 內的目錄「/_img/fck_uploads/File/」。 Apache 使用者和群組受到限制,無法登入,也沒有我們提供網站的目錄之外的權限。
所有文件都有 770 權限(用戶 rwx,群組 rwx,其他沒有)——我想修復這個問題,但被告知要推遲,因為它不是「高優先級」(希望這會改變這一點)。因此看來駭客可以輕鬆執行該腳本。
現在我無法真正找到 c99madshell.php 本身——只有一堆包含俄語文字的其他 HTML 文件和一些帶有內聯 PHP 的 .xl 和 .html 文件,它們是 madshell 駭客的再現。不過,經過一些研究,看起來駭客在執行後會自我破壞——太棒了。
無論如何,我的初步評估是這樣的:
沒有必要重建整個主機,因為考慮到 apache 使用者/群組的隔離,他們不應該能夠取得系統級密碼。
需要透過限制上傳不具有執行權限、更新FCKEditor版本以修正原始利用目標以及新增拒絕在上傳目錄中執行PHP腳本的伺服器級配置來修復此漏洞。
我應該更改應用程式的資料庫密碼 - 考慮到資料庫連接的設定檔位於網路根目錄中,駭客很可能已經抓住了它以及資料庫密碼。
無論如何,請提供關於我應該告訴老闆的任何意見。顯然,避免重建整個主機是理想的——但如果這就是我們必須採取的措施來確保我們沒有運行被駭客攻擊的機器,那麼這就是它將採取的措施。
我真的很感謝你們的幫忙。另外,請毫不猶豫地詢問更多資訊(我很樂意運行命令/與你們一起評估損失)。該死的黑客:(。
答案1
顯然,正如其他人所說,官方的「安全」反應是重建機器。
現實情況可能會阻止這種情況發生。您可以運行一些操作來檢查是否有妥協:
- 查克根工具包- 測試伺服器被入侵的常見跡象
- 如果是 rpm 系統,「rpm -Va|grep 5」將檢查所有 rpm 安裝的二進位文件,如果 MD5 和已更改,則報告「5」。如果您發現自訂二進位檔案中未解釋的任何不一致,則需要重新建置。
- 在 /tmp 中尋找任何可疑內容。
- 檢查「ps 傳真」是否有任何異常進程。如果「ps」被破壞或透過其他技術,您仍然可能有隱藏的進程在運行。
- 如果您在搜尋中發現任何擁有 apache 以外所有權的文件,則您的系統帳戶肯定已受到損害,您需要重建。
系統配置進行的更正:
- 如果可能,請停用 FCKeditor 上傳
- 確保您的臨時目錄設定為 NOEXEC 以防止程式在其中執行
- 所有 php 腳本都應該是最新的
- 如果你想安裝 mod_security 以在 php 腳本運行時尋找漏洞
我錯過了很多東西,但這些將是我要採取的第一步。根據您在伺服器上運行的內容及其安全性的重要性(您是否處理 CC 事務?),可能需要重建,但如果它是「低安全性」伺服器,您可能可以檢查上述內容。
答案2
你必須重建主機。您不知道他們對主機使用了何種類型的權限升級攻擊,也不能絕對確定沒有安裝木馬、鍵盤記錄程式或 rootkit。
一旦受到威脅,除了從裸機重建之外沒有其他選擇。
答案3
簡而言之 - 我會重建伺服器。
如果他們有權存取本機使用者(現在他們可以作為 apache 使用者存取),他們就可以運行本機漏洞。所以你應該考慮到整個伺服器都受到了損害。您還應該檢查其他伺服器。
你運行什麼發行版?如果它是基於 rpm 的,您可以檢查文件的簽名。啟動安裝 CD 並運行 rpm -V on 以檢查軟體包。
答案4
我知道這不是您想聽到的,但我真的建議您備份數據,重建伺服器並重新匯入所有數據。
請務必檢查其他網站,以確保網站不是唯一受到駭客攻擊的網站。如果您的所有伺服器腳本都作為一個 Apache 使用者執行(nodoby/ www_data/what-ever-your-distro-uses),則任何可以寫入網站的腳本幾乎肯定也可以寫入其餘網站。
除了更改所有密碼之外,請確保伺服器上的任何SSH 金鑰在所有其他伺服器上都無效(即撤銷公鑰,無論它們儲存在何處,而不僅僅是刪除私鑰),並且您可能擁有的任何其他系統在該伺服器上/透過該伺服器輸入密碼(或在檔案中儲存密碼)已變更密碼。