Chào các bác,
Tình hình: Một website host ở Việt Nam bằng cpanel bị upload ảnh và php shell
lên một world writable folder
/home/<MyUsername>/public_html/upload/{echo.php, ảnh linh tinh}
Em tìm thấy trong access log:
119.147.5.226 - - [08/Jun/2011:22:31:13 +0700] "GET /upload/echo.php
HTTP/1.1" 404 - "http://www.MyIP.com/upload/echo.php"; "Mozilla/4.0"
210.77.92.209 - - [08/Jun/2011:22:26:36 +0700] "GET
/images/980x400.swf HTTP/1.1" 200 9774463 "http://www.MyIP.com/";
"Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.17)
Gecko/20110420 Firefox/3.6.17 ( .NET CLR 3.5.30729)"
119.147.5.226: Địa chỉ từ đó launch attack (.cn)
210.77.92.209: Khả năng lớn đây là IP của attacker (.cn, một cơ quan
thuộc chính phủ)
www.MyClientsIP.com: Domain của website bị "hack"
Hosting: Sử dụng cpanel 1.0 (RC1)
www.MyClientsIP.com chỉ sử dụng html thuần do đó có thể
loại trừ khả năng www.MyIP.com có security hole.
Em ngờ rằng một website nào khác cùng được host trên cpanel này bị hack và
attacker lợi dụng chính lỗi của cpanel 1.0 (RC1) để upload php shell
từ host này sang host khác.
Mong các bác am hiểu cpanel chỉ giáo. Chả lẽ security của cpanel 1.0
(RC1) yếu đến thế sao?
--
Best Regards,
Nguyen Hung Vu [aka: NVH] ( in Vietnamese: Nguyễn Vũ Hưng )
vuhung16plus{remove}@gmail.dot.com , YIM: vuhung16 , Skype:
vuhung16plus, twitter: vuhung, MSN: vuhung16
_______________________________________________
POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines
_______________________________________________
HanoiLUG mailing lists: http://lists.hanoilug.org/
HanoiLUG wiki: http://wiki.hanoilug.org/
HanoiLUG blog: http://blog.hanoilug.org/
