Vandaag werd ik er door een collega op attent gemaakt dat er een paar PHP-bestanden in de avatar-directory van de server stonden... daar begon het.
14.php, basque.php en r57.php zijn PHP-shells, veel van avatar-*.php's zijn aangepaste scripts van ons forum.
Via het adminpanel van het forum ziet hij nóg meer bestanden, maar die kan ik niet zien via FTP/SSH (denk aan namen zoals db.php).
Ik heb gekeken, er is geen mogelijkheid om PHP-bestanden direct te uploaden via het avatar-panel.
Het avatar-panel gaat via het forumscript, wat een sterk verouderde versie van WBB Lite is, namelijk 1.01 (met de search.php-exploit gepatcht, dat wel).
We hebben in het verleden al vaker last gehad van serverhacks, als in, een gebruiker die zichzelf admin maakte, of op mysterieuze wijze de logingegevens van het adminpanel had, etc.
Al de bestanden stammen 2008, wat voor mijn tijd was, om specifiek te zijn, op het moment van een serververhuizing.
Ik heb de bestanden al verplaatst naar een directory onder de webroot; enig idee misschien wat ik nog meer kan doen?
code:
1
2
3
| $ ls *.php 14.php *veel avatar-xxxxx.php's* basque.php r57.php |
14.php, basque.php en r57.php zijn PHP-shells, veel van avatar-*.php's zijn aangepaste scripts van ons forum.
Via het adminpanel van het forum ziet hij nóg meer bestanden, maar die kan ik niet zien via FTP/SSH (denk aan namen zoals db.php).
Ik heb gekeken, er is geen mogelijkheid om PHP-bestanden direct te uploaden via het avatar-panel.
Het avatar-panel gaat via het forumscript, wat een sterk verouderde versie van WBB Lite is, namelijk 1.01 (met de search.php-exploit gepatcht, dat wel).
We hebben in het verleden al vaker last gehad van serverhacks, als in, een gebruiker die zichzelf admin maakte, of op mysterieuze wijze de logingegevens van het adminpanel had, etc.
Al de bestanden stammen 2008, wat voor mijn tijd was, om specifiek te zijn, op het moment van een serververhuizing.
Ik heb de bestanden al verplaatst naar een directory onder de webroot; enig idee misschien wat ik nog meer kan doen?
:strip_exif()/u/62716/avatar.gif?f=community){kind=avatar}
:strip_exif()/u/70496/glowmouse2.gif?f=community)
