最近我的一个网站被黑了。当然,攻击者可以执行 PHP 并启动交互式 shell 等。
我知道黑客可以删除文件,或者删除数据库,站点文件夹,在www-data的cron中写入一些任务。
我不明白的是,受限用户(www-data)如何能够扩展权限以安装 rootkit 或理论上需要更多权限或 sudo 的东西。
黑客如何能够利用 www-data 用户窃取整个 VPS 服务器?
感谢您的解释。
答案1
这取决于您如何设置。
作为可以执行甚至只是读取脚本的普通用户,我可以通过脚本来查找任何纯文本用户名或密码,例如 SQL 连接字符串或用于整理文件的远程复制(如 SCP)命令。
许多旧版 PHP 中存在大量漏洞,这些漏洞可让攻击者“突破”用户 shell 的防线,获取更强大的功能。请确保您运行的是软件的更新版本,并且所有内容仍可获得安全更新。
由于您只提到了 rootkit,我假设存在某种用户升级。但是,拥有 shell 的普通用户可以做很多事情,而您肯定不希望发生这种情况。虽然在这种情况下您的整个节点可能不会受到损害,但您的脚本可能会受到损害 - 而且您可以用它做很多事情。确保您的脚本权限严格。
总的来说,这个问题太宽泛了,无法真正回答。你问的问题需要整个专业领域的广泛知识才能回答。