PDA

Просмотр полной версии : Откат привилегий на папку с PHP


Filipp
24.10.2015, 21:01
Меня тут недавно попросили выкурить одного злобного хацкера,который орудует на сайте уже несколько недель. Сайтов на хостинге всего 2, один на WP, второй на October CMS (я его просканил, дырок не нашел).

Полез смотреть логи, нашел кучу интересных запросов. Какой-то тип сидящий с левых IP, постоянно ломится на админ панель WP, и по всей видимости успешно. WordPress обновленный, свежайшая версия..

Пораскинув мозгами, я решил дать права только на чтение на все директории, кроме upload'овых. Но ведь эти права легко вернуть обратно, поэтому я вырубил поддержку внешних команд. Потом решил так-же в disable functions добавить unlink (удаление файлов), т.е загрузить сможет, а вот удалить нет.

Disable-Functions у меня получился таким:


popen,exec,system,passthru,proc_open,shell_exec,sh ow_source,phpinfo,unlink,rmdir,chmod,fileperms,uma sk,chown,chgrp


На следующий день захожу посмотреть как там дела, и вижу полные права в корневой каталог, а в нем 3 пустых файла: temp-write-file, видимо удалить эти файлы не смогли. Полез смотреть логи, вижу что опять зашли в этот несчастный WP и залились через wp-cron.php. Только вот как они сменили права на папку, так я и не вьехал. Может есть альтернативная команда в PHP которой можно поменять права?

P.S "Да не тупи, поменяй пассворд на WP и все будет пучком" -- это не вариат(

ol1ver
25.10.2015, 06:23
Права 777 только на папки upload и тп. В них файл .htaccess для запрета исполнения php и тп. Посмотрите нет ли удаленного подключения к MySQL. Не запрятан ли бекдор? Да, а не залились ли к вам через соседей?(рутнули хостера)

ol1ver
25.10.2015, 06:24
+ сменить url к админ панели и как вариант авторизация только с вашего ip

faza02
25.10.2015, 11:34
может там вообще рут на сервере?

Filipp
25.10.2015, 13:13
↑ (https://antichat.live/posts/3906570/)
+ сменить url к админ панели и как вариант авторизация только с вашего ip




↑ (https://antichat.live/posts/3906589/)
может там вообще рут на сервере?


IP сменил, жду резултатов Ну а вот по поводу рута не уверен, файлы то удалить не получилось, значит действовал средствами PHP. Обычно этот тип как что-то сделал, все удалял, никаких следов, а здесь файлы оставил. Где то в недрах есть альтернатива chmod.. Например, вот если взять файловый менеджер от хостера, если нету прав, а ты туда чего-то хочешь загрузить он их подтягивает до 0750.

ol1ver
25.10.2015, 14:03
как вариант бага может быть в плагинах wp, банальный брут. Доп. авторизацию поставьте еще на странице авторизации админа.