Već nekoliko dana promatramo povećan promet skeniranja naših poslužitelja od strane robota koji pokušavaju provaliti na hosting račune. Nakon analize otkrili smo da su na računima instalirana OpenFlashChart knjižnica inačica 1.x, koja ima pogrešku koja omogućuje daljinsko otpremanje datoteka na poslužitelj.
Pogreška je u tome da kada se datoteke učitavaju kroz skriptu, vrsta datoteka nije označena, pa se umjesto grafike (za koju se koristi ova skripta) mogu učitati izvršne datoteke. Učitane datoteke koje smo analizirali skeniraju račun za konfiguracijske datoteke popularnih usluga kao što su Joomla, WordPress, itd. Nakon skeniranja cijelog poslužitelja za ovu “propusnu” biblioteku, otkrili smo da je instalirana na mnogim računima, a autori stranica nisu bili potpuno svjesni – knjižnica je upravo instalirana prilikom instalacije druge komponente.
Primjer lokacije te “leaky” datoteke instalirane kao Joomla komponente:
public_html/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php
Kao dio popularnog OpenX script:
public_html/openx/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php
Ako se funkcija ne koristi, najjednostavnije rješenje za zaštitu vaše web-lokacije je brisanje te datoteke.
The article is prepared jointly by a group of people from the Smarthost Administrators.
- Je li Litespeed brži od programa Apache? - 11 svibnja, 2020
- Zašto je “tehnička domena” dobro rješenje? - 18 veljače, 2020
- Uključivanje IPv6 na hostingu - 18 srpnja, 2019