У меня есть веб-сервер, на котором работает много разных сайтов (стандартная настройка vhosts, большинство сайтов основано на Joomla, несколько сайтов на WordPress и других сайтах, не использующих CMS) в среде Parallels Automation 11.5. Версия apache на веб-сервере - 2.2.15, и та же проблема возникает в нескольких версиях PHP.
Наши веб-сайты довольно часто взламывают и превращают наш сервер в спам-бота по электронной почте. Из того, что я могу сказать до сих пор, так это то, что злоумышленник может загрузить файл PHP, как правило, в корневой каталог, но иногда в папку изображений, следуя шаблону именования wn.php (w12345678n.php) и из того, что я могу сказать это веб-оболочка WSO. Затем этот человек, кажется, использует эту веб-оболочку для добавления инъекционного / вредоносного кода к остальной части сайта.
Что мне кажется странным, так это то, что эти сайты работают как FastCGI, поэтому все файлы принадлежат FTP-пользователю конкретной учетной записи (bob_ftp и т. Д.), Но php-файл оболочки WSO размещается в Интернете. сервер под apache: владение apache.
Я предполагаю, что файлы добавляются через какую-то уязвимость apache, но мне не очень повезло с отслеживанием виновника. Не мог бы кто-нибудь указать мне, как я могу заблокировать эти махинации? Желательно закрыть уязвимость, но на данный момент мне просто нужен какой-то способ уменьшить ущерб, чтобы мне не приходилось тратить на это так много времени.
Файлы создаются пользователем, который запускает процесс. Если они принадлежат apache и находятся в каталоге, доступном для записи apache, тогда спросите себя, зачем apache нужно писать «вообще» в этой области. Далее ужесточите права доступа к файлам: chown root, chmod o-wrx и т. Д. Apache обычно требует только разрешение на чтение, а не владение.
Проверьте уникальный uid в / etc / passwd, там может быть дубликат uid apache.
Кстати: если вы разрешаете пользователям FTP писать исполняемые файлы, подумайте об использовании chroot.