Re: [ml] phpshell e accesso ssh

Alle 10:56, venerdì 27 gennaio 2006, Marco ha scritto:

Salve,

> Se guardo chi si è loggato con last trovo entry tipo queste:
> temp     pts/0        62.117.114.180   Mon Jan 23 00:40 - 00:40  (00:00)
> temp     pts/0        148.208.149.21   Sun Jan 22 22:37 - 22:37  (00:00)

phpshell permette di avere a disposizione, ovviamente, una shell da gestire 
attraverso php, che può essere usata per tutti i normali task. Mi risulta 
(posso essere smentito) che sia necessario un normale login - dati hardcoded 
nel file php - quindi con ogni probabilità qualcosa risulta sui log. Se hai 
necessità di saperlo fai un fischio, controllo. Questo però mi sembra avere 
più a che fare con..

> Jan 26 20:02:46 <MIOSERVER> sshd[28199]: Accepted password for temp from
> 211.63.252.38 port 38925 ssh2

...il fatto che si sia riusciti ad entrare in sshd. Potrebbe esserci qualche 
errore di configurazione nel firewall, oppure potrebbe esserci in azione un 
qualche tipo di tunneling.

Nel caso ti stessi chiedendo perchè non è hanno continuato ad usare phpshell: 
la limitazione maggiore è che non si possono usare comandi che richiedano 
user interaction.
Evidentemente hanno usato qualche exploit noto (apache ha su openssl?) per 
bucare la macchina, creare l'utente ed uploadare il file. Per quanto riguarda 
il virtual host, it's easier than that. Magari sta includendo (include 
"/tmp/phpshell.php";) il file a partire da un'altra directory, oppure lo sta 
eseguendo in altro modo (link?).
Un giro nei log di apache dovrebbe chiarire la cosa, se non li ha modificati.


-- 
Cordialmente
Claudio Criscione