web-dev-qa-db-fra.com

Les pirates peuvent-elles injecter quelque chose sur le serveur hors / var / www / html

Nous avons eu un piratage en raison d'une mauvaise sécurité sur notre serveur. Le pirate informatique a eu accès à la base de données probablement à partir d'un fichier PHP détenant des informations d'identification de la base de données dans le dossier HTML. Le dossier/var/www/html avait des privilèges root et 777 autorisations. Le pirate informatique pourrait-il avoir injecté quelque chose à l'extérieur du dossier/var/www/html? Devons-nous réinitialiser notre serveur ou une sécurité correcte?

NOTE que nous avons déjà modifié les autorisations et la propriété du dossier HTML et des fichiers à l'intérieur. Nous avons également modifié les informations d'identification de la base de données et mises en œuvre de la sécurité MySQL. Également bloqué tous les ports sauf pour le port HTTP, HTTPS et SSH (modifier le port SSH aussi bien))

apache2securityhacking
2
Cayenne

En supposant que vous utilisez une configuration de base Apache2, tout Apache2 Processus et PHP code exécuté a été exécuté comme utilisateur: groupe www-data:www-data qui limite où il peut écrire des données. Un attaquant aurait probablement accès à:

  • Vos bases de données SQL car les informations d'identification devaient très probablement être stockées quelque part www-data pourrait lire, sinon votre application Web (par exemple, WordPress) ne serait pas capable de se connecter à votre base de données.

  • Tous les fichiers de votre /home/* répertoires, sauf les fichiers où les autorisations étaient 600 ou similaire, comme des clés SSH. Cela signifie qu'un attaquant n'aurait pas accès à vos clés SSH dans la plupart des cas.

  • Toute jeton d'API Oe d'autres fichiers stockés dans /var/www/html

  • Tous les fichiers de configuration dans /etc Cela n'avait pas eu des autorisations restreintes. Il vaut la peine de noter que /etc/letsencrypt/live a des autorisations restreintes et ne peut pas être lu via www-data Donc, vos clés SSL devraient être en sécurité.

En tout état de cause, je suggérerais de méfier toutes les informations d'identification sur le système, telles que les clés SSH, les jetons API et la délivrance de nouveaux certificats SSL à la sécurité. Vous pouvez ainsi faire un find / -group www-data Pour voir tous les fichiers créés par www-data Puisqu'il pourrait y avoir des zones aléatoires enrichies telles que /tmp, lieux PHP sessions sont stockés, /var/run, etc.

1
Kristopher Ives