web-dev-qa-db-ja.com

ハッカーは/ var / www / html外のサーバーに何かを注入できます

サーバーのセキュリティが悪いため、ハッキングされました。ハッカーは、おそらくhtmlフォルダーにデータベース資格情報を保持しているphpファイルからデータベースにアクセスしました。/var/www/htmlフォルダーにはroot権限と777権限がありました。ハッカーは/ var/www/htmlフォルダーの外に何かを注入した可能性がありますか?サーバーをリセットする必要がありますか、それとも適切なセキュリティでリセットできますか?

htmlフォルダーとその中のファイルの権限と所有権はすでに変更されています。また、データベースの資格情報を変更し、いくつかのMySQLセキュリティを実装しました。また、http、https、およびsshポートを除くすべてのポートをブロックしました(sshポートも変更します)

2
Cayenne

基本的なApache2セットアップを使用していると仮定すると、実行されるすべてのApache2プロセスとPHPコードは、データを書き込むことができる場所を制限するuser:group www-data:www-dataとして実行されました。攻撃者は以下にアクセスする可能性があります。

  • 資格情報はwww-dataが読み取ることができる場所に保存する必要がある可能性が高いため、SQLデータベース。それ以外の場合、Webアプリ(Wordpressなど)はデータベースに接続できません。

  • /home/*ディレクトリ内のすべてのファイル(SSHキーなど、権限が600または同様のものであったファイルを除く)。つまり、攻撃者はほとんどの状況でSSHキーにアクセスできません。

  • APIトークンは、/var/www/htmlに保存されている他のファイルを鉱石化します

  • 権限が制限されていない/etcの構成ファイル。 /etc/letsencrypt/liveには権限が制限されており、www-data経由で読み取ることができないため、SSLキーは安全であることに注意してください。

いずれにしても、SSHキー、APIトークン、新しいSSL証明書の発行など、システム上の資格情報を信頼しないことをお勧めします。 find / -group www-dataを実行すると、www-dataなどの書き込み可能なランダムな領域が存在する可能性があるため、/tmpによって作成されたファイルを表示できます。場所PHPセッションは保存、/var/runなど.

1
Kristopher Ives