File sconosciuto

[geggiot]

In questi giorni mi sono accorto della presenza di un file html non creato da me, inserito nelle cartelle dei miei 3 domini hostati presso lo stesso server. Dopo averlo cancellato ho fatto un pò di ricerche ed ho scoperto che molti domini dello stesso server presentano questo file html. Vorrei sapere se è possibile risalire o almeno capire come è finito lì questo file.
Se servono altre informazioni chiedete pure.

Grazie

[vhosting]

Devi controllare almeno glia access_log e in caso i log FTP.

Ciao.

[geggiot]

Ok, grazie!
Li visiono e vi faccio sapere.

[geggiot]

Ho letto i log di accesso ed ho capito che è stata uppata una shell sul mio spazio.

[vhosting]

Significa che hai dei seri bug di sicurezza del tuo software, aggiornalo.

[geggiot]

Ho wordpress aggiornato con plugin aggiornati e senza plugin inutili, non so proprio a chi imputare questa mancanza di sicurezza.

[vhosting]

Se dall'access_log hai visto che ti hanno inserito una shell dovresti anche vedere da che file hanno fatto l'exploit ergo puoi risalire ad un eventuale plugin incriminato.

[geggiot]

Grazie vhosting per le risposte, ma in ordine cronologico c'è l'accesso alla pagina di login

Quote:

184.164.xxx.xxx - - [16/Aug/2011:10:24:39 -0500] "POST /wp-login.php HTTP/1.1" 302 - "http://miosito.it/wp-login.php?redirect_to=http%3A%2F%2Fmiosito.it%2Fwp-admin%2F&reauth=1" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

184.164.xxx.xxx - - [16/Aug/2011:10:24:42 -0500] "GET /wp-admin/load-styles.php?c=1&dir=ltr&load=dashboard,plugin-install,global,wp-admin&ver=8e77e2d8a0596495034b9c96abb95f68 HTTP/1.1" 200 18828 "http://miosito.it/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

184.164.xxx.xxx - - [16/Aug/2011:10:26:17 -0500] "GET /wp-content/plugins/akismet/akismet.css?ver=3.2.1 HTTP/1.1" 200 464 "http://miosito.it/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

184.164.xxx.xxx - - [16/Aug/2011:10:26:33 -0500] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 24415 "http://miosito.it/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

184.164.xxx.xxx - - [16/Aug/2011:10:28:47 -0500] "POST /wp-content/plugins/hello-dolly/hello.php?y=/home/miosito/public_html/&x=upload HTTP/1.1" 200 5292 "http://miosito.info/wp-content/plugins/hello-dolly/hello.php?y=/home/miosito/public_html/&x=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"

[vhosting]

plugins/hello-dolly ....

[geggiot]

Non l'ho mai avuto, quello di default l'ho cancellato dopo l'installazione di wp e il file php nella directory hello-dolly, hello.php era la shell. Credo che il tizio abbia uppato la shell nella directory plugins/hello-dolly e rinominato il file in hello.php per non farmene accorgere.

[Xlogic]

Hai letto il codice del file html?

[geggiot]

Si, solita pagina di protesta contro gli infedeli etc...

[Xlogic]

Se ti può essere di aiuto, assicurati di avere l'ultima versione di Filezilla (se lo usi) e prova ad installare i plugin: Exploit Scanner e Theme Authenticity Checker (TAC).

[geggiot]

Ho utilizzato il cmd grep tramite cron per cercare tutti i file che usano passthru|shell_exec|system|phpinfo|base64_decode|c hmod|mkdir|fopen|fclose|readfile .

[Xlogic]

Hai trovato qualcosa?