On Thu, 9 Jun 2011, Nguyen Vu Hung wrote:
> Chào các bác,
>
> Tình hình: Một website host ở Việt Nam bằng cpanel bị upload ảnh và php shell
> lên một world writable folder
> /home/<MyUsername>/public_html/upload/{echo.php, ảnh linh tinh}
>
> Em tìm thấy trong access log:
>
> 119.147.5.226 - - [08/Jun/2011:22:31:13 +0700] "GET /upload/echo.php
> HTTP/1.1" 404 - "http://www.MyIP.com/upload/echo.php"; "Mozilla/4.0"
>
> 210.77.92.209 - - [08/Jun/2011:22:26:36 +0700] "GET
> /images/980x400.swf HTTP/1.1" 200 9774463 "http://www.MyIP.com/";
> "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.17)
> Gecko/20110420 Firefox/3.6.17 ( .NET CLR 3.5.30729)"
>
> 119.147.5.226: Địa chỉ từ đó launch attack (.cn)
> 210.77.92.209: Khả năng lớn đây là IP của attacker (.cn, một cơ quan
> thuộc chính phủ)
>
> www.MyClientsIP.com: Domain của website bị "hack"
> Hosting: Sử dụng cpanel 1.0 (RC1)
>
> www.MyClientsIP.com chỉ sử dụng html thuần do đó có thể
> loại trừ khả năng www.MyIP.com có security hole.
>
> Em ngờ rằng một website nào khác cùng được host trên cpanel này bị
> hack và attacker lợi dụng chính lỗi của cpanel 1.0 (RC1) để upload
> php shell từ host này sang host khác.
>
> Mong các bác am hiểu cpanel chỉ giáo. Chả lẽ security của cpanel 1.0
> (RC1) yếu đến thế sao?
>
Dear anh Hưng,
Em nghĩ thông tin log còn quá ít để có thể khẳng định cách thức tấn
công và inject shell. Có thể lỗi nằm ở Web Server, DB Server, FTP
Server, Web Application... cPanel chỉ là một phần trong một chuỗi mắt
xích có thể bị đập.
Sincerely,
Dương
--
Dương "Yang" ヤン Hà Nguyễn
Web log: http://cmpitg.wordpress.com/
"Life is a hack"
[ Do not send me Microsoft Office attachments, please.
http://www.gnu.org/philosophy/no-word-attachments.html ]
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GIT/C/ED/L d++ s-:-(:) !a C+++(++++) ULU++++>$ P-- L+++>$ E+++
W++>+++ N+ o+ K w--- O- M@ V- PS+ PE++ Y+>++ PGP++ t+ 5 X+ R-
tv+ b+++ DI+++ D++ G+++ e* h* r* y-
-----END GEEK CODE BLOCK-----
_______________________________________________
POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines
_______________________________________________
HanoiLUG mailing lists: http://lists.hanoilug.org/
HanoiLUG wiki: http://wiki.hanoilug.org/
HanoiLUG blog: http://blog.hanoilug.org/
