Назад | Перейти на главную страницу

Как фишер загрузил на мой сервер?

Мой веб-хостинг уведомил меня, что они получили жалобу из банка Америки о том, что одна из моих учетных записей в моем торговом посреднике (WHM) была взломана фишером. Как только хост отменил приостановку моей учетной записи, я попытался выяснить, как эта учетная запись была взломана, но не могу этого понять.

Я предполагаю, что если бы фишер каким-то образом перехватил пароли, они бы нанесли больший ущерб, поэтому мое текущее мышление - это своего рода уязвимость в cpanel / .htaccess и т. Д.?

Фишер создал поддомен и папку с поддельным сайтом, который собирал банковские реквизиты и отправлял их себе по электронной почте.

Мой вопрос в том, как фишер взломал учетную запись, чтобы загрузить свои файлы? (или какие возможные слабые места он мог бы использовать)

Если вы используете стандартную систему cpanel, я бы проверил три или четыре возможных вектора и постарался бы их исключить:

1) Хакер знает ваш пароль ftp и использовал его для загрузки измененных файлов. Если это произошло, ваш хост должен иметь журналы, чтобы показать это, а также удаленный IP-адрес, используемый для этого. Если ваш хозяин не может вам этого показать, я найду нового хозяина.

2) Изменяли ли они ваш сайт через другой интерфейс (SCP, WebDAV)? Опять же ваш хост должен иметь возможность показать вам журналы.

3) Есть ли скрипты, разрешающие доступ к файлам? Ваш хост должен иметь возможность указывать на журналы, показывающие это.

4) В cPanel есть несколько атак на повышение привилегий или перекрестные атаки на учетные записи реселлеров. Можно отслеживать символические ссылки, ошибки WebDAV и другие атаки, возможно, позволили хакеру использовать другую учетную запись, а затем загрузить контент на ваш сайт.

Во всех этих случаях ваш хозяин должен проводить вас через это.