Недавно был взломан мой сайт. Наверняка злоумышленник может запустить PHP, запустить интерактивную оболочку и т. Д.
Я понимаю, что хакер может удалить файлы или удалить БД, папку сайта, записать в cron www-data для выполнения некоторых задач.
Чего я не понимаю, так это того, как с ограниченным пользователем (www-data) можно масштабировать привилегии для установки руткита или чего-то, что теоретически требует дополнительных разрешений или sudo.
Как хакеру взять целый VPS-сервер с пользователем www-data?
Спасибо за объяснения.
Это зависит от того, как вы это настроили.
Как обычный пользователь, который может выполнять или даже просто читать сценарии, я могу искать в них любые имена пользователей или пароли в виде открытого текста для таких вещей, как строки подключения SQL или команды удаленного копирования (например, SCP) для скопления файлов.
Во многих старых версиях PHP есть множество уязвимостей, которые позволяют «вырваться» из пользовательской оболочки во что-то более мощное. Убедитесь, что вы используете обновленные версии своего программного обеспечения и что все по-прежнему получает обновления безопасности.
Поскольку вы упоминаете только руткиты, я предполагаю, что произошла какая-то эскалация пользователей. Однако есть много вещей, которые может делать обычный пользователь с оболочкой, чего вы определенно не хотите делать. Хотя в этом случае весь ваш узел не может быть скомпрометирован, ваши скрипты могут быть скомпрометированы - и вы можете довольно много с этим сделать. Убедитесь, что у вашего скрипта жесткие разрешения.
В общем, этот вопрос слишком широк, чтобы на него можно было ответить. Вы задаете вопрос, на который отвечает широта всей профессиональной области.