Это связано со взломом, с которым нам пришлось столкнуться. Хакеры вставили в нашу систему php-файл. Рассматриваемый каталог действительно получает загрузки (изображения) от нашего cmsadmin. Однако все файлы, загруженные через наш cmsadmin, имеют одного и того же владельца и разрешения (owner: theadminsname, permissions: 777
). С другой стороны, незаконно вставленный файл owner: apache, permissions: 644
Мой вопрос: Указывает ли эта разница в владельце и разрешениях на то, как был вставлен файл? Если бы они загрузили файл через нашего cmsadmin, разве у него не было бы того же владельца и прав доступа, что и у других загруженных файлов? Указывает ли тот факт, что владельцем является apache другой маршрут, или они просто изменили его на него, потому что это такое распространенное имя владельца apache?
Еще одна вещь. Вставленный файл был помещен в раздел нашей кастомной cms. Затем он предоставил хакерам форму для внесения изменений в файлы в сторонней рекламной программе (среди прочего). Кажется странным, что они загрузили файл в наш пользовательский cmsadmin (расположенный в совершенно другой структуре каталогов, нежели рекламная система и без взаимодействия между ними), а затем использовали бы его для управления этой сторонней рекламной программой. Cmsadmin и администратор рекламной программы находятся в разных каталогах и никак не связаны программно. Все это заставляет меня подозревать, что атака была проведена не из-за уязвимости в нашем cmsadmin или в рекламной системе, а из-за уязвимости в веб-хосте.
Что вы все думаете?
Конечно, похоже, что файл был загружен с помощью кода, запущенного на веб-сервере. Однако обеспечение того, чтобы загруженный контент
1) держать отдельно от остальной части сайта
2) хранится в месте, которое явно настроено для предотвращения выполнения
это очень простой и фундаментальный принцип безопасности: это ваша вина, что вас взломали.
Указывает ли тот факт, что владельцем является apache другой маршрут, или они просто изменили его на него, потому что это такое распространенное имя владельца apache?
Наверное - что это за ОС? Вы можете копировать файл в Unix, только если вы являетесь пользователем root - это означает, что если они не загрузили его через веб-сервер, то у них есть root-доступ - и если у них есть root, зачем оставлять такой грязный след?
Cmsadmin и админ рекламной программы находятся в разных каталогах
Ну и что? Если они не находятся на разных серверах, они могут взаимодействовать (даже на разных серверах).
С.
Трудно сказать что-либо о той информации, которую вы нам дали, не зная в деталях настройки. Возможностей так много, что лучшее, что мы можем сделать, - это предположить.
Лучшее, что вы можете сделать, - это попытаться понять, что произошло. Проанализируйте файлы журнала и посмотрите, есть ли какие-либо следы того, что произошло. Как вы упомянули, похоже, это работа не профессионала, а каких-то случайных скриптовых детишек или даже какого-то автоматического сканера уязвимостей.
Затем, когда вы узнаете, что хотите, лучше всего отформатировать диск и переустановить все.
Что ж, на будущее есть вещи, которые вы можете реализовать (более или менее легко), например системы обнаружения вторжений, такие как AIDE / tripwire, удаленный системный журнал, более строгие правила брандмауэра (фильтрация входящего и исходящего трафика), улучшенный журнал / контрольный журнал и оповещения, регулярный ручной аудит и обзор передового опыта и использование сканера уязвимостей (например, Nessus). Но если вы параноик, есть еще много чего - тестирование на проникновение, DMZ, сегрегированные сети, сетевые ACL, токены безопасности RSA, SELinux / AppArmour, ... Вы уловили идею. Вам решать, где остановиться.
Я много чего знаю. Безопасность - это сложно.