Использование PHP-файла в каталоге / tmp [дубликат]
На этот вопрос уже есть ответ здесь:
Наша система предупредила меня о том, что в каталоге / tmp обнаружена оболочка PHP. Во-первых - я хотел бы знать, как он мог попасть сюда и почему он оказался здесь - можно ли каким-либо образом выполнить PHP на этом уровне?
Во-вторых, он каким-то образом был загружен через установку WordPress - отслеживая, как это произошло будет непросто, но есть ли у кого-нибудь общее представление о том, как это могло быть? На сайте нет общедоступных форм загрузки.
Спасибо, Крис.
Вы не упомянули, где находится ваша папка tmp относительно корневого веб-каталога, но во многих отношениях это не имеет значения. Может ли там выполняться PHP? Это зависит от конфигурации apache вашего / вашего веб-хоста. Как он туда попал? Опять же, это предположение, но:
- Wordpress - насколько он актуален? Были ли в нем исправлены последние уязвимости безопасности?
- Все плагины для WordPress, которые вы установили, - то же самое, актуальны ли они?
- Если вы используете общий хостинг, всегда есть вероятность, что ваш сайт не был точка входа для взлома. В этом случае любой отдельный уязвимый сайт на том же сервере, что и ваш сайт, можно использовать для компрометации любого или всех других сайтов, размещенных на том же сервере (или даже других, в зависимости от того, насколько плохо настроен веб-хост!)
Как Для того, чтобы узнать, откуда он пришел, лучше всего начать поиск в журналах веб-сервера. Вы ищете запросы, которые не подходят для обычного трафика. Например. страна исходного IP-адреса, какие ресурсы GET или POST.
Кроме того, если у вас нет надежного способа проверить, не был ли ваш сайт взломан другими способами, вам почти наверняка понадобится для восстановления последней удачной резервной копии.
Удачи