Foros del Web » Administración de Sistemas » Software para Servers »

Ataques .htaccess

Estas en el tema de Ataques .htaccess en el foro de Software para Servers en Foros del Web. Alguien más ha notado un considerable aumento en ataques .htaccess? Esto ataques molestos pueden ser dificiles de detectar ya que normalmente solo redirigen el tráfico ...
  #1 (permalink)  
Antiguo 22/12/2011, 09:24
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 4 meses
Puntos: 144
Información Ataques .htaccess

Alguien más ha notado un considerable aumento en ataques .htaccess?

Esto ataques molestos pueden ser dificiles de detectar ya que normalmente solo redirigen el tráfico que viene desde buscadores y el tráfico que genera errores (403,404, etc)

Aquí comparto unos tips para combatirlos: (cPanel/WHM)

  1. Denegar acceso FTP al usuario root (WHM Main >> Service Configuration >> FTP Server Configuration ) y cambiar Allow Logins with Root Password a No
  2. Denegar login anónimos (WHM Main >> Service Configuration >> FTP Server Configuration ) y cambiar Allow Anonymous Logins a NO
  3. Denegar uploads anónimos: (WHM Main >> Service Configuration >> FTP Server Configuration ) y cambiar Allow Anonymous Uploads a No
  4. Utilizar únicamente conexiones seguras FTP: (WHM Main >> Service Configuration >> FTP Server Configuration )y cambiar TLS Encryption Support a Requerided (Comand)
  5. Habilitar cPHulk Brute (No estoy 100% seguro que cubre intentos fallidos de FTP pero no está demás activarlo (Main >> Security Center >> cPHulk Brute Force Protection) Click en Enable
  6. Instalar CSF Firewall y configurarlo para bloquear intentos de login fallidos (más info en http://configserver.com/cp/csf.html)
  7. Habilitar Mod_security (Requiere recompilar apache via easyapache, seleccionar la opción mod_security) luego ir a WHM >> Plugins >> Mod_security >> Edit Config >> Default Configuration y salvar
  8. Deshabilitar las siguientes funciones PHP curl_multi_exec , passthru , pcntl_exec , posix_kill , posix_mkfifo , posix_setuid , proc_close , proc_terminate , shell_exec , system , ftp_exec , leak , posix_setpgid , posix_setsid , proc_get_status , proc_nice , show_source
  9. Educar a los usuarios acerca de la importancia de mantener sus contraseñas seguras y cambiarlas períodicamente
  10. Educar a los usuarios acerca de la importancia de actualizar sus CMS (Joomla y Wordpress principalmente)
  11. Educar a los usuarios acerca de la importancia de ser extremadamente cuidadosos con los permisos de archivos y directorios
Esto protegerá el servidor contra ataques al .htaccess y otra gran variedad de ataques, sin embargo no pretende ser una gúia completa de seguridad.

Lo más importante, los ataques al .htaccess en su gran mayoría usan el nombre de usuario y password FTP de la víctima, este password es obtenido vía fuerza bruta o mediante la infección de troyanos en la PC de la víctima. Por esta razón la primera línea de defensa tiene que ser en el usuario (contraseñas seguras, acceso FTP seguro y PC límpia)

Como saber si hay sitios infectados:

Puedes correr este simple comando:

Código:
cd /home; grep -rl '*google' --include=.htaccess ./*/public_html > infected_htaccess.txt
Esto creará una lista de .htaccess que tienen alguna redirección de Google y probablemente sea un archivo infectado (es posible cambiar *google por cualquier otra patrón de virus que se desee buscar en los .htaccess

La lista de .htaccess probablemente infectados esta en /home/infected_htaccess.txt

Como limpiar las infecciones:

Hay dos formas:
  1. Manualmente removiendo las redirecciones en cada uno de los archivos listados en /home/infected_htaccess.txt
  2. Renombrando todos los .htaccess infectados con el siguiente comando:
  3. Código:
     cd /home; for LINE in `cat infected_htaccess.txt `; do mv $LINE $LINE.infected.txt; done
    
    esto renombrará todos los archivos infectados listados en /home/infected_htaccess.txt como .htaccess_infected.txt (note que esto borrará el archivo .htaccess por lo que el usuario deberá reconstruir el .htaccess original
Espero que les sirva

Etiquetas: htaccess, virus-troyanos-y-spyware
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 2 personas




La zona horaria es GMT -6. Ahora son las 07:02.