简介:我有一个装有 FreeBPX(Centos 5.4)的盒子。由于漏洞,用户可以访问 Web UI 并能够收集中继用户名和密码。
我的主要问题如下,用户没有获得 root 访问权限。现在为了进行调查,我剩下来自 Apache http 服务器的 access_log,所以我需要知道我是否在调查有效的文件。
我的问题是,用户是否有可能在没有 root 访问权限的情况下更改了 Apache 日志。Apache 随着时间的推移创建了多个文件,所以我有access_log.1 access_log.2...每个文件对我来说似乎都是有效的,并且创建日期似乎也是有效的。
我可以依赖这些文件吗?是否存在已知漏洞,即 Apache 的 access_log 在没有 root 访问权限的情况下可能会受到损害?
答案1
这个问题有点棘手的因为我们不得不做太多假设,所以无法回答。我还有几个问题需要您回答:
- 你怎么知道用户网站被黑了?
- 你怎么知道他没有获得 root 权限?
- Apache http 服务器使用什么权限?
理论上,如果你没有 IDS,比如助手,您无法确定哪些文件被更改了,哪些没有,因为存在我们不知道的 0day 漏洞。因此 Apache 可能存在漏洞,只有密切关注 Apache 邮件列表的用户才知道尚未解决的错误/问题(请参阅这里)。
所以如果你不分享更多信息,就很难说。但一般来说,如果你 100% 确定 root 访问权限没有被泄露,并且 Apache 没有被黑客入侵,那么他就无法读取文件。
如果用户使用 Apache 漏洞来破解 Apache,那么 shell 就有“www”权限,这意味着他可以读取/更改这些文件。