大约一个月前,我的网站被黑了。我的主机没有保存非常好的日志,所以我不知道具体访问了什么。黑客在我们的IRC中声称他使用了某种RCE(远程代码执行)但拒绝详细说明。无论他做了什么,他都会向网站上传一个混淆的php脚本并控制数据库,然后他自己成为网站上的管理员用户。
我使用的框架称为kusaba,版本0.9.3。以前的版本有几个已报告的漏洞,在此版本中已修补。
嗯,一个用西班牙语写的网站谈到了一个漏洞利用(下面),但除非我这样做,否则我无法让它发挥作用
https://translate.google.com/translate?sl=auto&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fvammm.wordpress.com%2F2012%2F09%2F07%2Fkusaba-x-0-9-3-0day-xss%2F&edit-text=&act=url
我将给定的代码发布到html文档中,在脚本标记内,并在线访问该页面。没有。尝试访问下面的直接链接,这也没有做任何事情。
http://postherwin.com/threadwatch.php?o=addthread&board= \%27%29%3B%22%3E%3C%2FA%3E%3Cscript%3Ealert%28document.cookie%29%3B%2F * A *%2F%3C%2Fscript%3E %3C! -
鉴于上述参数,他如何上传shell?我该如何预防?
答案 0 :(得分:1)
即使不是您在问题中提到的未记录的threadwatch.php漏洞,攻击者也可能使用了以下漏洞。 CVE-2008-5663:
Kusaba 1.0.4及更早版本中的多个不受限制的文件上传漏洞允许远程认证用户通过使用(1)load_receiver.php上传具有可执行扩展名的文件或(2)对paint_save.php进行船舶操作来执行任意代码,然后通过在其用户目录中直接请求访问上传的文件。
Kusaba'paint_save.php'远程执行代码漏洞
Kusaba容易出现远程代码执行漏洞,因为应用程序无法正确清理用户提供的输入。
利用此问题,攻击者可以让应用程序在Web服务器的上下文中执行任意代码。
Kusaba 1.0.4易受攻击;其他版本也可能受到影响。
Kusaba'load_receiver.php'远程执行代码漏洞
Kusaba容易出现远程代码执行漏洞,因为应用程序无法正确清理用户提供的输入。
利用此问题,攻击者可以让应用程序在Web服务器的上下文中执行任意代码。
Kusaba 1.0.4易受攻击;其他版本也可能受到影响。
两种情况下的解决方案都是相同的:
供应商发布了解决此问题的修补程序。有关更多信息,请参阅参考资料。
所以我的建议是使用晚于1.0.4的Kusaba版本。
threadwatch.php漏洞似乎是另一个清理问题。框架无法正确清理或输出对存储在数据库中的数据进行编码。这意味着,当有效用户访问系统时,可能会发生XSS attack(例如,将Cookie发送给攻击者或在会话网站中安装键盘记录程序)。
有关threadwatch.php漏洞的详细信息并不清楚如何实现远程执行代码,但是由于攻击者可以通过其他方式实现这一点,因为我已经详细说明了这一点,这是一个没有实际意义的点 - 你应该升级到框架的固定版本。
答案 1 :(得分:0)
从它的声音来看,你已被当地黑客攻击。我的建议,更改所有密码,你需要有一个或多个大写字母的密码,1-2个数字字母和1-2个特殊字符,如1-0和shift键。 !@#$%^&放大器; *()_ +。那就是你可以购买的最好的安全性。否则,您将保持开放状态以供使用。许多预先制作的脚本都有非常明显的错误。有许多安全措施可以做到。老实说,学习如何编码。 99%的问题被过度展示。蛮力可能会在某些时候起作用,但是当你遇到聪明的美国人时,你会被迫等待。