Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Boa noite.
Ontem, o website de um amigo meu foi invadido e ele me chamou para aprimorar a segurança.
Li os logs, vi a falha e achei que estava tudo resolvido. Coloquei uma página HTML básica de manutenção.
Mas o website foi novamente atacado, mesmo sem conteúdo dinâmico.
Então, fui à procura de qualquer anormalidade, e a árvore de arquivos é mais-ou-menos assim:
./
- home
- etc
- public_html
- logs
- (etc...)
Dentro do diretório etc, encontrei uma shell (espécie de backdoor baseado em Web), por onde o autor do ataque conseguia modificar os arquivos.
Apaguei a shell e problema resolvido. Mas ficou uma dúvida, apenas por curiosidade:
Como ele conseguia acessar o arquivo fora do public_html?
Ele não possuía a senha do CPanel ou FTP. Nos logs de acesso nem apareciam seus requests.
Fui fazer uns testes e fiz, por exemplo:
site.com/../home/test.php
site.com/~home/test.php
Mas nenhum deles funcionou.
Não há discos virtuais, redirecionamentos nem coisa alguma apontando para este diretório ou arquivo.
Como é possível acessar arquivos desta forma? Como é a prevenção?
Grato desde já.
Neste caso, como é o procedimento para a remoção desta conta?
Vou pedir pra resetar a conta e os arquivos. Isso pode não resolver?
olha no /etc/passwd se tem usuário estranho...
p/ excluir deluser <user>
outra possibilidade, ele pode ter colocado no cron o script
Eu pedi pra zerar toda a conta (arquivos, SQL e senha). Pelos logs que o suporte mandou, o invasor havia lido as senhas, e vi que ele acessou via FTP mesmo.
Obrigado, João!
pode ser q na primeira invasão ele tenha colocado um usuário na máquina p/ ele voltar a ter acesso a ela msm q vcs reparem o servidor.