没想到,我们为客户托管的旧网站上有一个 FCKEditor 版本,它允许某人将可怕的 c99madshell 漏洞上传到我们的网络主机上。
我并不是一名安全专家——坦白说,由于人员流失,我只是一名目前负责 S/A 职责的开发人员。因此,我非常希望得到你们这些服务器故障人员在评估漏洞造成的损失方面提供的任何帮助。
向您提供一些信息:
该文件已上传到 Web 根目录下的“/_img/fck_uploads/File/”目录中。Apache 用户和组受到限制,无法登录,并且没有我们为网站提供服务的目录之外的权限。
所有文件都有 770 个权限(用户 rwx、组 rwx,其他无)——我想修复这个问题,但被告知要推迟,因为它不是“高优先级”(希望这能改变这种情况)。因此,看来黑客可以轻松执行该脚本。
现在我实际上无法找到 c99madshell.php 本身——只有一堆包含俄语文本的其他 HTML 文件和一些带有内联 PHP 的 .xl 和 .html 文件,它们是 madshell 黑客的再现。不过,经过一番研究,看起来黑客在执行后会自行销毁——太棒了。
无论如何,我的初步评估是这样的:
不需要重建整个主机,因为考虑到 apache 用户/组的隔离,他们不应该能够获取系统级密码。
需要通过限制上传不具有执行权限、更新FCKEditor版本以更正原始漏洞目标以及添加拒绝在上传目录内执行PHP脚本的服务器级配置来修复此漏洞。
我应该更改应用程序的数据库密码——鉴于数据库连接的配置文件位于 Web 根目录中,黑客很可能已经获取了它以及数据库密码。
无论如何,请大家提供任何关于我应该告诉老板的意见。显然,避免重建整个主机是理想的选择——但如果我们必须这样做才能确保我们没有运行被黑客入侵的机器,那么这就是我们要做的。
我非常感谢你们的帮助。另外,如果想要了解更多信息,请不要犹豫(我很乐意运行命令/与你们一起评估损失)。该死的黑客 :(。
答案1
显然,正如其他人所说,官方的“安全”反应是重建机器。
实际情况可能会阻止这种情况发生。您可以运行以下几项来检查是否存在妥协:
- Chkroot工具包- 测试服务器被入侵的常见迹象
- 如果是 rpm 系统,则“rpm -Va|grep 5”将检查所有已安装的 rpm 二进制文件,如果 MD5 总和已更改,则报告“5”。如果发现自定义二进制文件未解释的任何不一致,则需要重建。
- 查看 /tmp 中是否有任何可疑的东西。
- 检查“ps fax”中是否有任何异常进程。如果“ps”被攻陷或通过其他技术攻陷,您仍然可能运行隐藏进程。
- 如果您在搜索中发现任何文件的所有权不是由 apache 拥有,那么您的系统帐户肯定已被泄露,您需要重建。
需要对系统配置进行更正:
- 如果可能的话,禁用 FCKeditor 上传
- 确保临时目录为 NOEXEC,以防止程序从中执行
- 任何 php 脚本都应该是最新的
- 如果你想安装 mod_security 来监视 php 脚本运行时的漏洞
我遗漏了很多东西,但这些是我要采取的第一步。根据您在服务器上运行的内容及其安全性的重要性(您是否处理 CC 交易?),可能需要重建,但如果它是“低安全性”服务器,您可能只需检查上述内容即可。
答案2
你必须重建主机。你不知道他们对主机使用了什么样的特权升级攻击,也不能绝对确定没有安装木马、键盘记录器或 rootkit。
一旦受到攻击,除了从裸机重建之外没有其他选择。
答案3
简而言之——我将重建服务器。
如果他们可以访问本地用户(现在他们以 apache 用户身份访问),他们可以运行本地漏洞。因此,您应该考虑整个服务器都受到了威胁。您还应该检查其他服务器。
你运行的是什么发行版?如果它是基于 rpm 的,你可以检查文件的签名。启动安装 CD 并运行 rpm -V on 来检查软件包。
答案4
我知道这不是您想听到的,但我确实建议备份数据,重建服务器,然后重新导入所有数据。
另外,一定要检查其他网站,以确保这不是唯一受黑客攻击的网站。如果您服务器的所有脚本都以一个 Apache 用户 ( nodoby/ www_data/what-ever-your-distro-uses) 的身份运行,那么任何可以写入一个网站的内容几乎肯定也可以写入其他网站。
除了更改所有密码之外,还要确保服务器上的任何 SSH 密钥在所有其他服务器上都无效(即,撤销存储公钥的任何地方,而不仅仅是删除私钥),并且您可能已在该服务器上/通过该服务器输入密码(或将密码存储在文件中)的任何其他系统的密码都已更改。