Citaat:
Oorspronkelijk geplaatst door Boyke  Heb contact gehad met de provider, blijkbaar waren er ook logs gewist. Niet echt iets wat je via SQL injection of XSS doet in mijn ogen.
Ben in ieder geval blij dat ik de puinhoop niet hoef op te ruimen  |
Via RFI kun je vrij simpel een connect back binary uploaden naar /tmp en executen (standaard fstab config, dus geen noexec enz) , en tadaa de attacker heeft toegang onder user apache (mits ze geen suphp draaien)
Maar hij/zij kan ook simpelweg een phpshell geupload hebben en zo het e.e.a gesloopt hebben om lokaal access te verkrijgen...
En zo zijn er nog 1000 manieren om via RFI iets op een lekke doos te doen.
Als de hosting provider al geen logs meer aantreft, dan is die doos simpelweg geroot met een lokaal exploitje wat de attacker beslist op milw0rm gevonden heeft
Happy reinstalling
