Atacante acessando arquivo fora do public_html

[Jefrey 0]

Boa noite.

Ontem, o website de um amigo meu foi invadido e ele me chamou para aprimorar a segurança.

Li os logs, vi a falha e achei que estava tudo resolvido. Coloquei uma página HTML básica de manutenção.

Mas o website foi novamente atacado, mesmo sem conteúdo dinâmico.

Então, fui à procura de qualquer anormalidade, e a árvore de arquivos é mais-ou-menos assim:

./

- home

- etc

- public_html

- logs

- (etc...)

Dentro do diretório etc, encontrei uma shell (espécie de backdoor baseado em Web), por onde o autor do ataque conseguia modificar os arquivos.

Apaguei a shell e problema resolvido. Mas ficou uma dúvida, apenas por curiosidade:

Como ele conseguia acessar o arquivo fora do public_html?

Ele não possuía a senha do CPanel ou FTP. Nos logs de acesso nem apareciam seus requests.

Fui fazer uns testes e fiz, por exemplo:

site.com/../home/test.php

site.com/~home/test.php

Mas nenhum deles funcionou.

Não há discos virtuais, redirecionamentos nem coisa alguma apontando para este diretório ou arquivo.

Como é possível acessar arquivos desta forma? Como é a prevenção?

Grato desde já.

[João Víctor Rocon Maia 1]

pode ser q na primeira invasão ele tenha colocado um usuário na máquina p/ ele voltar a ter acesso a ela msm q vcs reparem o servidor.

[Jefrey 0]

Neste caso, como é o procedimento para a remoção desta conta?

 

Vou pedir pra resetar a conta e os arquivos. Isso pode não resolver?

[João Víctor Rocon Maia 1]

olha no /etc/passwd se tem usuário estranho...

p/ excluir deluser <user>

 

outra possibilidade, ele pode ter colocado no cron o script

[Jefrey 0]

Eu pedi pra zerar toda a conta (arquivos, SQL e senha). Pelos logs que o suporte mandou, o invasor havia lido as senhas, e vi que ele acessou via FTP mesmo.

Obrigado, João!