Назад | Перейти на главную страницу

Использовать PHP-файл, найденный в каталоге / tmp

Наша система предупредила меня о том, что в каталоге / tmp была обнаружена оболочка PHP. Во-первых - я хотел бы знать, как он мог попасть сюда и почему он оказался здесь - есть ли способ, которым PHP может быть запущен на этом уровне?

Во-вторых, он каким-то образом был загружен через установку WordPress - отследить, как это произошло, будет непросто, но есть ли у кого-нибудь общее представление о том, как это могло быть? На сайте нет общедоступных форм загрузки.

Спасибо, Крис.

Вы не упомянули, где ваша папка tmp относительно корневого веб-сайта, но во многих отношениях это не имеет значения. Может ли там выполняться PHP? Это зависит от конфигурации apache вашего / вашего веб-хоста. Как он туда попал? Опять же, это предположение, но:

  1. Сам Wordpress - насколько он актуален? Были ли в нем исправлены последние уязвимости системы безопасности?
  2. Все плагины для WordPress, которые вы установили - тоже самое, актуальны ли они?
  3. Если вы используете общий хостинг, всегда есть вероятность, что ваш сайт не был точкой входа для взлома. В этом случае любой отдельный уязвимый сайт на том же сервере, что и ваш сайт, можно использовать для компрометации любого или всех других сайтов, размещенных на том же сервере (или даже других, в зависимости от того, насколько плохо настроен веб-хост!)

Что касается того, откуда он взялся, журналы веб-сервера - очевидное место для начала поиска. Вы ищете запросы, которые не подходят для обычного трафика. Например. страна исходного IP-адреса, какие ресурсы GET'd или POST'd.

Кроме того, если у вас нет надежного способа убедиться, что ваш сайт не был взломан другими способами, вы почти наверняка захотите восстановить свою последнюю заведомо исправную резервную копию.

Удачи