Døpe om config.ini.php ?

[Nutz]

Hei.
Så igjennom det hacker-scriptet som hakonv viste til https://www.webforumet.no/forum/php-sql-og-databaser/9482-fors-k-p-hacking.html#post86994, i koden hadde han målrettet gått etter endel "normale" filnavn for å finne bla. SQL brukernavn og passord.
config.ini.php var en av de som var listet opp blant fler.

Er det verd å ta jobben å løpe igjennom koden på scriptet på websiden sin, gi nye navn på disse kjente filene, eller er det kjørt og bortkasta uansett, når man allerede har fått inn et slikt/tilsvarende script?

 

[tyr897]

Bortkastet tid. Har du fått inn en botnet klient har du adskillig problemer enn filnavnene dine. Du må uansett endre alle passordene dine når du har fått bort skiten og funnet ut hvordan den kom seg inn. Etterpå må du bruke tid på å finne ut om du har blitt ytterliggere kompromitert, eksempelvis fått satt inn et rootkit.

Kjører du en egen server/vps er nok det enkleste bare å innstallere fra scratch.

 

[Nutz]

Ja, har også litt følelse av dette. Blir som å lindre smertene, og ikke gå løs på det egentlige problemet.
Blir litt vanskelig å finne "hullene" i systemet da alle logger blir slettet med nettopp dette scriptet.

Men finnes jo andre angrepsmetoder som går ut på å få listet ut PHP-kode i klartekst for å få ut info som er "hardkodet" i scriptet. Vil man ikke da ha et lite "overtak", da forventede filer ikke eksisterer?

 

[tyr897]

Det ideelle er jo å få logget eksternt. Men uansett, dersom det bare er en brukerkonto som blir tatt, har jo ikke angriperen tilgang til å slette loggene.

Men finnes jo andre angrepsmetoder som går ut på å få listet ut PHP-kode i klartekst for å få ut info som er "hardkodet" i scriptet. Vil man ikke da ha et lite "overtak", da forventede filer ikke eksisterer?

Litt usikker på hva du mener her? Er angriperen først inne, spiller det jo egentlig liten rolle om han har sjekket hva som ligger i config.inc.php?