web-dev-qa-db-ja.com

PHP / tmpフォルダーにあるファイル名のコード。どの程度心配する必要がありますか?

最近、proftpdが所有する/tmpに、少し心配な隠しファイルを発見しました。

-rw-r--r--  1 proftpd         nogroup       <timestamp>       86  .<?php eval($_REQUEST[cmd]); ?>

テキストエディターでその内容を表示しようとしましたが、最終アクセス時間のプロパティが変更されるため、これはおそらく悪い動きでした。とにかくここにstatからの出力があります:

  File: ‘/tmp/.<?php eval($_REQUEST[cmd]);?>’
  Size: 86          Blocks: 8          IO Block: 4096   regular file
Device: fc00h/64512d    Inode: 175564      Links: 1
Access: (0644/-rw-r--r--)  Uid: (  113/ proftpd)   Gid: (65534/ nogroup)
Access: <another-timestamp>
Modify: <one-timestamp>
Change: <one-timestamp>
Birth: -

ファイルが変更されたときにproftpdログを確認すると、次のような多くのエントリが表示されます。

<timestamp> <myhost> proftpd[9114] localhost.localdomain (<some-naughy-domain>[<IP>]): error opening destination file '/var/www/public_html/<hosted-domain>/www/dbvar.php' for copying: No such file or directory

このファイルはエクスプロイトの一部として使用できますか?

LAMPサーバー環境で作業しています。

3
taran

誰かがこのエクスプロイトを使用しているようです:

ProFTPd 1.3.5-ファイルコピー

https://www.exploit-db.com/exploits/36742/

これもCVE-2015-3306です:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3306

Proftpdのバージョンproftpd -vを確認します。それでも古いバージョンの場合は、1.3.6rc1に更新してください。より良いものが必要な場合は、sftpではなくftpの使用を検討してください。

4
Mirsad