一个月前我的网站被黑了。我的主机没有保存很好的日志,所以我不知道具体访问了什么。黑客在我们的IRC中声称他使用了某种RCE(远程代码执行),但拒绝详细说明。无论他做什么,他都上传了一个混淆的php脚本到站点,并假定控制了数据库,然后他将自己设置为站点的admin用户。
我使用的框架叫做kusaba,版本0.9.3。以前的版本有几个漏洞,这些漏洞在这个版本中得到了修补。
嗯,一个用西班牙语写的网站,谈到了一个漏洞(如下),但我不能让它工作,除非我做它w
https://translate.google.com/translate?sl=auto&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fvammm.wordpress.com%2F2012%2F09%2F07%2Fkusaba-x-0-9-3-0day-xss%2F&edit-text=&act=url
我将给定的代码发布到html文档中,在脚本标签中,并在线访问该页面。什么都没有。尝试访问下面的直接链接,也没有任何作用。
http://postherwin.com/threadwatch.php?o=addthread&董事会= ' % 27% 29% 3 b % 22% 3 e % 3 c % 2 fa % 3 e % 3 cscript % 3 ealert % 28。29% % 3 b % 2 f * * % 2 f % 3 c % 2 fscript % 3 e % 3 c !——
考虑到上面的参数,他是如何上传shell的?我该如何预防呢?
即使它不是您在问题中提到的未记录的threadwatch.php漏洞,攻击者也可以使用以下漏洞利用。cve - 2008 - 5663:
Kusaba 1.0.4及更早版本的多个无限制文件上传漏洞允许远程认证用户通过(1)load_receiver.php或(2)shipainter动作向paint_save.php上传带有可执行扩展名的文件来执行任意代码,然后通过直接请求访问用户目录中的此文件来访问上传的文件。
Kusaba 'paint_save.php'远程代码执行漏洞
Kusaba 'paint_save.php'远程代码执行漏洞
Kusaba很容易出现远程代码执行漏洞,因为应用程序无法正确处理用户提供的输入。
利用这个问题,攻击者可以使应用程序在web服务器上下文中执行任意代码。
Kusaba 1.0.4脆弱;其他版本也可能受到影响。
Kusaba 'load_receiver.php'远程代码执行漏洞
Kusaba 'load_receiver.php'远程代码执行漏洞
Kusaba很容易出现远程代码执行漏洞,因为应用程序无法正确处理用户提供的输入。
利用这个问题,攻击者可以使应用程序在web服务器上下文中执行任意代码。
Kusaba 1.0.4脆弱;其他版本也可能受到影响。
两种情况下的解决方案是相同的:
供应商发布了修复程序来解决此问题。更多信息请参阅参考资料。
所以我建议使用一个高于1.0.4的Kusaba版本。
threadwatch.php漏洞似乎是另一个消毒问题。框架无法正确清理或输出编码存储到数据库中的数据。这意味着当一个合法用户访问系统时,就会发生XSS攻击(例如,将您的cookie发送给攻击者或为您的会话在网站中安装键盘记录程序)。
关于threadwatch.php漏洞如何实现远程代码执行的细节尚不清楚,但由于攻击者可以通过其他方式实现这一点,正如我在上面详细介绍的那样,这是一个没有意义的点-您应该升级到框架的固定版本。
听起来,你被本地黑客入侵了。我的建议是,修改所有的密码,你需要有一个包含1个或多个大写字母,1-2个数字字母和1-2个特殊字符的密码,如shift键的1-0。! @ # $ % ^, *() _ +。这是你能买到的最好的证券。否则,你就会被利用。许多预制脚本都有非常明显的错误。本可以采取很多安全措施。老实说,学习如何编码。99%的问题都被过度展示了。蛮力可能在某些时候有效,但对于聪明的美国人来说,你不得不等待。