Нахождение уязвимости веб-сервера
Как отказоустойчивое, чтобы смочь войти в систему с учетной записью Администратора домена, если Ваши системные администраторы исчезают, создайте учетную запись специального пользователя и делегируйте способность к reset\change паролям в эту учетную запись. Дайте это имя пользователя и пароль доверяемому человеку, такому как Ваш босс с инструкциями относительно того, как и когда использовать его. Если Ваш босс может изменить пароль администратора домена в случае чрезвычайной ситуации затем, Вы - половина пути к восстановлению управления Вашей сетью.
Необходимо будет, вероятно, создать пользовательскую консоль MMC также, но это может быть сохранено в доле защищенной сети.
Существует использование phpMyAdmin
#!/bin/bash
# CVE-2009-1151: phpMyAdmin '/scripts/setup.php' RCE PoC v0.11 Инжекции Кода PHP
# pagvac (gnucitizen.org), 4-го июня 2009.
# особая благодарность Greg Ose (labs.neohapsis.com) для обнаружения такого прохладного vuln,
# и к str0ke (milw0rm.com) для тестирования этого сценария PoC и обеспечения обратной связи!# Сценарий PoC успешно протестировал на следующих целях:
# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 и 3.0.1.1
# Linux 2.6.24-24-универсальный i686 GNU/Linux (Ubuntu 8.04.2)# требования нападения:
1) уязвимая версия (очевидно!): 2.11.x прежде 2.11.9.5
# и 3.x прежде 3.1.3.1 согласно PMASA-2009-3
2) кажется, что этот vuln может только быть использован против сред
# где администратор принял решение установить phpMyAdmin после
# метод мастера, а не ручной метод: http://snipurl.com/jhjxx
3) администратор, должно быть, НЕ удалил '/config /' каталог
# в '/phpMyAdmin /' каталог. это вызвано тем, что этот каталог
# где '/scripts/setup.php' пытается создать 'config.inc.php', который является где
# наш злой код PHP введен 8)# больше информации о:
# http://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php
# http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/
Так как нападение, кажется, вошло через апача, я сделал бы эти две вещи:
- Блок через все журналы доступа, ища .htaccess ', т.е. что-то как
grep -rn '\.htaccess' /var/log/httpd/*access* - Посмотрите в apache/httpd/whatever пользовательском корневом каталоге для файла истории, часто '/var/www' или чего-то подобного.
Это сначала скажет, был ли интернет-пользователь само скомпрометирован, или взломщик использовал произвольное выполнение команды. Это может также сделать (потенциальный) полный отчет о том, что сделал взломщик. Столь глупый, как это звучит, большинство взломов как это редко моется после себя и оставляет такое доказательство.
И, конечно, если у Вас есть группа в Вашей организации, которая выполняет реагирование на инциденты безопасности или исследование судебной экспертизы, могло бы стоить передать оборудование им перед началом собственного анализа.