Me han atacado la pagina web parese ser de Asia

miros84 · #1 (**permalink**) 24/02/2009, 12:45

Hola a todos. Puede parecer que llevo poco en la programacion y eso es cierto, pero quiero contaros lo que me ha pasado y tal vez haya expertos en seguridad y me pueden decir como prevenir lo que me ha pasado. Hace 2 dias entre en mi web y vi que era modificada, me salio otra web con mi dominio....

Como ya la aregle, os daré ejemplo con otras paginas que encontré por alli. Que eran modificadas igual que la mia. http://www.qatarg.com/vb/
http://www.arabic-m.com/defaced/29413/www.ct-dent.co.il
http://www.banhacamp.byethost6.com/
http://linxsony.altervista.org/
Como veis los tios los mismos. No se si son de Asia o eso simulan. Contacté con mi hosting y me han dicho que habian subido un archivo php mediante un upload que tengo. Lo comprobé y era cierto. Habian subido un archivo .php de 156kb. No lo pude ver porque del hosting ya lo habian bloqueado. Y tambien vi que se me habia registrado una persona de Arabia saudi que podria haber subido el archivo. En el upload tengo permitido subir solo gid, jpeg y bmp. No entiendo como han podido subir este archivo php. Parece ser que luego este archivo me ha cambiado los index.php ya que eran los unicos modificados. Buscando en internet encontré una solucion. Creando un archivo .htaccess donde ponga:

# secure htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .html .exe .js .bat .jse .lnk .pif .scr .vb .vbs .xls .dll .doc .docx .txt .bas .cmd .msi .msp
Options -ExecCGI

De esta manera no se me van a ejecutar estas extenciones. Eso es lo que entiendo yo. Me podeis ayudar a proteger mi pagina web de atacantes, de decirme alguna manera de parar esta jente. Para inputs utilizo addshlace que parece que va bien, pero utilizar upload, pues me ha pasado eso. Que me vais a aconsejar? Me podeis dar algun consejo practico?

jenusys · #2 (**permalink**) 24/02/2009, 13:50

Cuestiones de seguridad... siempre es bueno hablar con quienes soportan tu hosting y cambiar claves frecuentemente, que ¿Para eso paga uno no? .

PeruClic · #3 (**permalink**) 24/02/2009, 13:55

ahi no entra mucho las claves de tu cuenta, porque al darles la opcion de upload tu mismo estas dando acceso a que los hacker suban archivos a tu web, bueno yo t doy dos sugerencias, 1- busca un servidor que tenga instaldo suPHP que ordena los permisos de tus carpetas y archivos y 2- nunca uses chmod 777 q es lo peor q puedes hacer, es una invitacion a q t hakeen la web

saludos

Remsankar · #4 (**permalink**) 24/02/2009, 14:07

yo te puedo ayudar, se mucho de XSS, Mysql injection y cosas por el estilo

Remsankar · #5 (**permalink**) 24/02/2009, 14:12

posiblemente el upload permite subir archivos php xD y mas encima se suben a una carpeta que se puede ver por http

coloca el codigo del upload y te hecho una mano.

si tienes ajax o formularios de busqueda tambien podrian ser vulnerables, habria que hechar una mirada a todos los formularios.

otra cosa mas complicada es la config del servidor, eso de los chmod, .htaccess safemode etc

lo ultimo es validar todos los $_GET y los $_POST te podria paras unas REGEX para que lleguen solo los datos que esperas ;)
-------------
ajajaja, me calleron bien los hackers esos, te ponen como vulneraron tu web, en el fondo es una ayuda a golpes
creo que es por el safemode off, seguramente es mysql injection

miros84 · #6 (**permalink**) 24/02/2009, 14:42

Código PHP:

  <?php


    /* Check Structure Availability */
    if (!defined("CORE_STRAP")) die("Out of structure call");
    
    $tpl = new template;
    $tpl -> Load("upload");
    
    if (me("id") != "") {
        
        $tpl -> Zone("uploadPicture", "enabled");

        // HANDLE UPLOAD & SUBMIT /////////////////////////////////////////////////////
        /*
            Submit occured? Let's handle that!
        */
        if (isset($_POST["Submit"])) {
            
            /* 
                We will check if we got a picture, attribute it a name, and
                save it to the temporary directory.
            */
            if (
                is_uploaded_file($_FILES["file"]["tmp_name"])
                and preg_match('/\\.jpg$|\\.jpeg$|\\.gif$|\\.png$/i', basename($_FILES["file"]["name"]))
            ) {
                
                if (strstr(basename($_FILES["file"]["name"]), ".")) {
                    $fileChunks = explode(".", basename($_FILES["file"]["name"]));
                    $fileExtention = strtolower($fileChunks[count($fileChunks)-1]);
                
                    if (in_array($fileExtention, explode(",", $CONF["PICTURES_ALLOWED_EXTENTIONS"]))) {
                
                        $filename = md5(uniqid(time(), 1)) . "." . $fileExtention;
                        move_uploaded_file($_FILES["file"]["tmp_name"], "system/cache/temp/{$filename}");
                
                        /*
                            Generate the picture data array, this is
                            the picture information data pack - it is 
                            generated here as we may need it later ...
                        */
                        $pictureDataArray = array(
                            "NAME" => $_POST["title"],
                            "DESCRIPTION" => $_POST["description"],
                            "FILE" => $filename,
                            "LIBRARY" => 
                                (me("mainpicture")==""?NULL:
                                    (isset($_POST["grouptext"])&&$_POST["grouptext"]!=""?$_POST["grouptext"]:$_POST["grouplist"])
                                ),
                            "PRIVATE" => (isset($_POST["private"])?true:false),
                            "MAIN" => (me("mainpicture")==""?true:false),
                            "DATE" => date("U"),
                            "APPROVED" => $CONF["PICTURES_AUTO_APPROVE"],
                            "ID" => str_replace(" ", "", uniqid(0))
                        );
                    
                        rename("system/cache/temp/{$filename}", "system/cache/pictures/{$filename}");
                        
                        /* 
                            Load the actual user's pictures array, and append the
                            new picture data to it.                        
                        */
                        $myPictures = unpk(me("pictures"));
                        if (!is_array($myPictures)) $myPictures = array();
                        $myPictures[] = $pictureDataArray;
                        
                        /*
                            Save that to the database
                        */                    
                        myQ("UPDATE `[x]users` SET `pictures`='".pk($myPictures)."' WHERE `id`='".me('id')."'");
                        
                        /* 
                            Update the main picture entry if needed 
                        */
                        if (me("mainpicture") == "") myQ("
                            UPDATE `[x]users` 
                            SET `mainpicture`='{$filename}' 
                            WHERE `id`='".me('id')."'"
                        );
                        
                        $tpl->Zone("uploadHeader", "success");
                    } 
                    
                    /*
                        File extension is not contained in allowed list
                    */
                    else $tpl->Zone("uploadHeader", "unallowedExtension");
                
                }    

                
                /*
                    File extension is not contained in allowed list
                */
                else $tpl->Zone("uploadHeader", "unallowedExtension");
            }
            
            /*
                Form was submitted with no file?! Nice idea for 
                an upload page... Show error
            */
            else $tpl->Zone("uploadHeader", "noFile");
            
        }
        
        /*
            Form was not submitted
        */
        else $tpl->Zone("uploadHeader", "enabled");

        // LOAD GROUPS ////////////////////////////////////////////////////////////////
        /*
            We check if we already loaded the pictures array (this
            is possible as the post method may have loaded it earlier.
            If it is already there, we won't act. If it's not, we will
            load it
        */
        if (!isset($myPictures)) $myPictures = unpk(me("pictures"));
        
        $picturesGroups = array();        
        
        /*
            If the pictures array is .. an array (!), we will loop
            against it to form a grouped "library groups" list. Doing
            so that way prevents ending up with cloned groups
        */
        if (is_array($myPictures)) foreach($myPictures as $pictureArray) {
            
            /*
                If the library group is not empty and its not in 
                the groups array yet, add it!
            */
            if ($pictureArray["LIBRARY"] != "" && !in_array($pictureArray["LIBRARY"], $picturesGroups)) {
                $picturesGroups[] = $pictureArray["LIBRARY"];
            }
        }
        
        /*
            If the library groups exists, we will loop in it
            and create the final replacement array
        */
        $i=0;
        if (isset($picturesGroups)) foreach ($picturesGroups as $groupName) {
            $groupsReplacementArray[$i]["group.name"] = $groupName;
            $i++;
        }
        
        /*
            ... and finally, if the replacement array
            exists, we assign it to the template
        */
        if (isset($groupsReplacementArray)) {
            $tpl->Zone("groupsDropdownField", "enabled");
            $tpl->Loop("groupsDropdownOptions", $groupsReplacementArray);
        }
        
        // END //
    
    }
    
    else $tpl -> Zone("uploadPicture", "guest");
    
    $tpl -> CleanZones();
    $tpl -> Flush();

?>

Parece ser que no se puede subir archivos php. Yo mismo intenté subir uno y no me dejó. Pero ellos han podido. Como lo lograron? Como ves me han dejado un mensaje(los atacantes) que tenia el safe mode deshabilitado, los del mi servido lo han habilitado ya, pero eso del safe mode que es? Me ayudará?

franco190453 · #7 (**permalink**) 24/02/2009, 18:02

miros84:

Cita:

Contacté con mi hosting y me han dicho que habian subido un archivo php mediante un upload que tengo. Lo comprobé y era cierto.

Ese archivo (QUE CONTIENE EL UPLOAD) o lo eliminas de inmediato o lo modificas para que se conforme con las normas minimas de seguridad.

Saludos
Franco

miros84 · #8 (**permalink**) 25/02/2009, 00:49

El archivo upload.php que tengo lo he subido y lo podeis ver aqui mas arriba. No permite subir otros archivos mas que jpg, y gif, pero no se como han podido subiur archivos php. No tengo idea.

sysdebian · #9 (**permalink**) 25/02/2009, 01:56

En tu php.ini:

Código:

secure_mode = on

Asegurate de que solo se puede subir lo que desees que se suba y no interpretes codigo php desde archivos que no sean php, restan rendimiento y producen estas cosas.
Registra todos los accesos y mira los logs frecuentemente...

franco190453 · #10 (**permalink**) 25/02/2009, 08:30

miros84:

Observa lo siguiente ->

Haces un :
if(SUBMIT) OK
despues checas (Ojo-> dentro del submit!!!)
if(UPLOAD)
Aqui checas la extension

Lee esto con calma y tranquilidad
1.- Si hay un POST el codigo procede
2.- Si hay un POST y hay un UPLOAD el codigo procede
3.- Si la condicion 2 se da entonces checas por la extension.
4.- Si la condicion 2 NO se da el codigo procede hasta terminar
(NO ESTAS VALIDANDO LO QUE BIENE EN EL SUBMIT!!!!)

Entonces si yo hago esto
http://www.tudominio.com/.../tuphp.p...//hackeado.php
tu codigo me lo procesa sin problemas
y te puede destruir tu web y afectar
la web del hosting en caso ellos NO
tengan el safe_mode en ON.

Si no entiendes bien esto, te
recomiendo que unicamente subas archivos
de aplicaciones profesionales
o te estaran haciendo daño continuamente.

NOTA: hay cerca de 12000 casos de estos semanales
y es como un aunque usted no lo crea, consecuencia de
poner paginas sin la debida seguridad, instalar servidores de correo
NO profesionales; es mas se de un servidor de correo sencillo que es
buscado laboriosamente por los hackers porque saben que lo pueden
controlar desde fuera.

Finalmente, elimina ese archivo que es una invitacion gratis a hackear tu sitio y debes hacer debidas consultas para modificarlo substancialmente.

Saludos
Y buena suerte
Franco

P.S. Si has comprendido lo anterior, postea dando
tu solucion y donde la pondrias!.

calerito · #11 (**permalink**) 25/02/2009, 09:51

Te han subido un shell php, te recomiendo que si es un upload de images que incluyas un script para que compruebe la imagen antes de subirla al servidor y dar el link de esta.

Un Salu2!

miros84 · #12 (**permalink**) 25/02/2009, 10:47

Gracias por las respuestas. Lo que quiero es modificar este archivo upload.php que tengo. Alguien me puede ayudar?