让我们说,我在Cpanel共享托管上有一个主域名和一些附加域名,并且每个附加域名都有自己的子域名,就像子域名一样.primary-domain .COM。附加域名都是真实站点和公共站点,主域名仅用于托管帐户,http://primary-domain.com实际上只有一个带徽标的页面。
几天前发生了不好的事情,primary-domain.com被Chrome和Firefox封锁:提前欺骗网站!
好的方面是:所有附加域目前都可以。
在Google webmastertools下,警告如下:
这些页面试图欺骗用户做一些危险的事情,例如安装不需要的软件或泄露个人信息。
示例网址(有害内容警告):
one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php
我不知道./login.php/magmi/web/download_file.php做了什么以及做了什么,我确实有一个文件/login.php,但我找不到magmi/web/download_file.php整个服务器,但我确实看到了我的访客日志中出现了来自印度的IP。即使它隐藏在某个地方,但如何在/login.php /?
有趣的是,附加域附带的上述子域名尚未被列入黑名单,但它们使用的目录完全相同。
我要求我的托管扫描整个根,结果显示干净,发现没有有针对性的网址和0恶意软件命中,托管在McAfee上检查了我的primary_domain.com,结果为绿色,风险最小,与谷歌和雅虎的比例相同。我使用长期良好的版本恢复了整个目录,并要求Google进行审核。结果很快就会回来,但仍然没有变化。
我不太担心主域名,因为它实际上不是一个网站,但我想相关的附加域名将会被阻止太长时间。
关于这个黑客的任何想法?我确实看到了一些关于magmi/web/download_file.php的搜索结果,但我没有相关的经验。黑客是否有可能在服务器上更改了一些触发某些重定向的指令?所有帮助表示赞赏。感谢。
答案 0 :(得分:1)
我已经浏览过Google,发现问题来自使用eccomerce webapp中的插件上传程序。攻击者基本上可以使用网站的大量上传程序脚本上传一个php文件,该脚本将文件转换为zip,然后将其安装到服务器上。
https://www.exploit-db.com/exploits/35052/
我首先会开始寻找托管magento网站的网站并扫描它以查找问题。然后采取适当的步骤来消除它。禁用软件通过Web界面上传插件的能力,并让他们通过sftp手动上传他们想要的插件。
下一步是将所有密码更改为每个人帐户中的所有内容,以防万一攻击者能够收集到该内容。
--------------------------- @链路利用
利用漏洞找到日期:2014年10月24日 安全研究员姓名:Parvinder。哈辛 联系信息:parvinder.bhasin@gmail.com twitter:@parvinderb - 天蝎座
目前测试的版本: Magento版本:Magento CE - 1.8岁 MAGMI版本:v0.7.17a较早
下载软件链接: Magento服务器:http://www.magentocommerce.com/download MAGMI插件: https://sourceforge.net/projects/magmi/files/magmi-0.7/plugins/packages/
MAGMI(MAGento Mass Importer)存在文件包含漏洞 (RFI)允许攻击者基本上传任何PHP文件(没有 任何健全检查)。然后可以使用此PHP文件来浏览信用卡 数据,重写文件,运行远程命令,删除文件等等。实质上, 这使攻击者能够在易受攻击者身上执行远程命令 服务器
重现的步骤:
在上传新插件下: 点击“选择文件” MAGento插件基本上都是压缩的php文件。所以创建一个php shell和 压缩文件。例如:evil.php例如:zip文件:evil_plugin.zip。文件后 已上传,它会说:插件已打包安装。 evil.php:
现在提取您的恶意evil.php文件。所有你需要做的 只是访问evil.php页面: HTTP:///magmi/plugins/evil.php 此时您可以真正访问整个系统。下载 任何恶意软件,安装rootkit,skim信用卡数据..etc.etc。