Problemas de seguridad por php.ini

Hola a todos!!

De nuevo dando vueltas por estos rumbos.

Necesito ayuda y para comprender todo sera necesario lean todo lo que sigue.

Hace unas semanas llego un hacker a mi servidor y obtuvo acceso a el sin ningún problema, lo alcance a detectar ya que estaba trabajando con mi web (basada en whmcs) donde de pronto vi un archivo extraño que no habia subido yo y que yo sabia que no era del whmcs. Lo abri y era un script para subir archivos.

Lo elimine y volvió a aparecer, de pronto en mi carpeta templates aparecieron mas archivos, Todo un kit Hacker

Revisando el mismo archivo con lo que subio tenia como funciones visualizar todos los dominios alojados en el servidor y los scripts, eso no es todo. Cuando vi los dominios alojados me preocupe, pero cuando di clic en un link llamado " Symlink" del dominio que escogiera de la lista entre en preocupacion ya que tenia acceso en modo texto plano a los archivos de cualquier dominio alojado, incluyendo era posible visualizar los archivos de configuracion del whmcs, wordpress, joomla, smf, phpbb3 entre otros mas para ver los datos de configuracion como si vieras un TXT.

Rapidamente abri el editor de textos para ver la programacion del archivo y revisar las funciones usadas y estas no aparecian ya que el archivo estaba encriptado asi que procedi a desactivar todas las funciones que conocia a travez de disable_functions y me encuentro con la sorpresa de que el archivo colapso mostrando error en las funciones scandir, eval entre otras funciones.

Todo bien hasta ahi ( parte de los errores que se mostraron a algunos clientes por haber deshabilitado todas las funciones que conocia ) ya habiendo visto las funciones que usaba el script retire las demas dejando las que ya tenia y las que usaba el script.

Despues actualice mi whmcs ya que tenia un bug de seguridad pero luego me dio la curiosidad de agregar un php.ini junto a los archivos del hacker (un php.ini en blanco) y las funciones se activaron nuevamente y la herramienta quedo funcionando nuevamente diciendome que estoy vulnerable.

En mi caso tome mis medidas necesarias, mi whmcs no tiene accesos root registrados, solo acceso a una cuenta reseller que cree y que desde el whm no hay acceso a las demas cuentas.

Antes que se me olvide, entre las herramientas estaba un hack para whmcs que ponias los datos del configuration.php incluyendo el hash y descifraba todas las contraseñas guardadas en whmcs (las que encripta al ser un campo password).

Pero aun asi los scripts de mis clientes y datos quedan al descubierto si vuelven a intentar hackear del mismo modo.

Hay algún modo de que el usuario que cree un php.ini en su cuenta no pueda desactivar las funciones que yo desactive desde WHM?

Mi servidor esta configurado con suPHP.

Espero me puedan ayudar.

 

Si tienes enlaces symlink en tu cuenta existe un exploit en Apache que permite el escalado de privilegios. Deberías empezar investigando por ahí.

cPanel no tiene un parche oficial de momento, aunque existen parches no oficiales que resuelven la vulnerabilidad directamente sobre los archivos de Apache.

En este post se habla sobre el exploit.

http://forums.cpanel.net/f185/how-prevent-creating-symbolic-links-non-root-users-202242.html

Saludos.

 

tengo el mismo problema el se pasea por todo el directorio biendo los archivos en texto plano =\ como es posible solucionar esto ?

 

En este momento mientras encuentro algun modo de protegerme desactive las siguientes funciones en php:

Funciones que conocia, que vi en los scripts y que vi como recomendaciones desactivar por internet van incluidas en esa lista, claro, despues de desactivar esas funciones revisando si no habia problemas con las webs de mis clientes y atento a tickets con alguna queja de error y no reportaron nada asi que no tuve problemas por dejar esas funciones desactivadas.

Para mis archivos de WHMCS (Configuration.php) le di permisos 600 para que este no pueda ser visualizado con un Symlink

Estoy pensando en poner los public_html con permisos 710 pero ya podrían saltar problemas (eso pienso) Lo probe y esto provoca que con el symlink no se pueda visualizar el contenido de la carpeta y desde la url si se ve correctamente. SI dejo dicho chmod 710 en un public_html si podrían existir consecuencias?

Un saludo.

 

Esperamos que sea superado estos defectos. Estaremos muy pendientes