Foros del Web » Administración de Sistemas » Software para Servers »

Necesito localizar el origen de un ataque

Estas en el tema de Necesito localizar el origen de un ataque en el foro de Software para Servers en Foros del Web. Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los ...
  #1 (permalink)  
Antiguo 02/01/2013, 06:38
 
Fecha de Ingreso: noviembre-2010
Ubicación: Badajoz
Mensajes: 94
Antigüedad: 14 años, 1 mes
Puntos: 4
Necesito localizar el origen de un ataque

Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los cuales inspeccioné y contenían lo siguiente:

Código PHP:
<?php eval(gzinflate(base64_decode("HZ3HkqvalkX/5bXuDRogPFHxGsJ77zsVeO89.............
Lo cual, tras decodificarlo muchas veces he accedido al código de la aplicación en sí, tratándose de un completo explorador de archivos, sql, consola...
En resumen, el atacante ha tenido acceso a todos los php que hay en éste dominio, además de acceso completo a la base de datos, el último día que sucedió ésto fué el 22 de diciembre, me baso en la fecha de creación del script php con el que ha tenido acceso a todo...

Actualmente estoy cambiando contraseñas de todo aunque no creo que sea suficiente pues si ha metido el archivo una vez, de alguna forma podrá volver a hacerlo...

De alguna forma podría localizar el origen del agujero de seguridad por el que ha colado el script? temo que vuelva a suceder y vuelva a comprometer toda la seguridad del sitio...

Como observación, uso Plesk 10.4.4#47, Centos 5...

Necesito ayuda urgentemente...

Ah, gracias por adelantado y feliz año a todos!
  #2 (permalink)  
Antiguo 03/01/2013, 11:57
 
Fecha de Ingreso: julio-2007
Mensajes: 415
Antigüedad: 17 años, 5 meses
Puntos: 19
Respuesta: Necesito localizar el origen de un ataque

En el dominio en cuestion , usas algun tipo de CMS como Joomla? wordpress? etc ??

estos cms , si no estan actualizados , asegurados o parchados, podrian tener estos "huecos" de seguridad que estas presentando.
__________________
Micro e-business
Dominio & Hosting & Server Dedicados
  #3 (permalink)  
Antiguo 03/01/2013, 12:02
 
Fecha de Ingreso: noviembre-2010
Ubicación: Badajoz
Mensajes: 94
Antigüedad: 14 años, 1 mes
Puntos: 4
Respuesta: Necesito localizar el origen de un ataque

Gracias por responder, no uso ningún cms desde hace muchísimo tiempo, descartaría esa opción... y hasta la fecha me considero bastante cuidadoso con la validación de todos los datos que pueda introducir el usuario en el sitio...
Claro está que algún despiste he podido cometer en el desarrollo del sitio, pero no tengo muy claro cómo localizar dónde exactamente...
Tengo acceso a los logs del servidor, aunque no sé cuál ni por dónde empezar a mirar, no me vendría mal un poco de ayuda..
  #4 (permalink)  
Antiguo 03/01/2013, 12:07
 
Fecha de Ingreso: julio-2007
Mensajes: 415
Antigüedad: 17 años, 5 meses
Puntos: 19
Respuesta: Necesito localizar el origen de un ataque

Bueno, revisa si tienes tus software actualizados , es decir, ultimas versiones de php, apache , plesk, etc etc

Ahora, para bloquear el base64 , puedes desactivar esa funcion.

edita tu php.ini y en el campo "disable_function" , agrega base64_decode , entre otras funciones para asegurar tu php.
__________________
Micro e-business
Dominio & Hosting & Server Dedicados
  #5 (permalink)  
Antiguo 03/01/2013, 12:22
 
Fecha de Ingreso: noviembre-2010
Ubicación: Badajoz
Mensajes: 94
Antigüedad: 14 años, 1 mes
Puntos: 4
Respuesta: Necesito localizar el origen de un ataque

Cita:
Iniciado por microeb Ver Mensaje
Bueno, revisa si tienes tus software actualizados , es decir, ultimas versiones de php, apache , plesk, etc etc

Ahora, para bloquear el base64 , puedes desactivar esa funcion.

edita tu php.ini y en el campo "disable_function" , agrega base64_decode , entre otras funciones para asegurar tu php.
La primera medida que tomé fué deshabilitar la función gzinflate, con ésta debería ser suficiente para evitar que vuelvan a ejecutar exactamente el mismo script, pero si lo han logrado colar en una línea todo, seguro que también pueden meterlo sin comprimir y sin codificar, deshabilitar más funciones parece se una forma de matar moscas a cañonazos, no parece la solución...

Las versiones de todo los software se vienen actualizando casi que cada mes junto con cada actualización de plesk, sospecho que el fallo de seguridad puede venir de algún descuido mío en el sitio web, pero buscarlo sin saber por dónde empezar... no sólo puede ser muy laborioso sino que además fácil que se me vuelva a pasar por alto, ya que son muchísimos php y bastante extensos...

Lo que sí he podido verificar es que no haya sido modificado ninguno por el atacante, basándome en una búsqueda basada en la fecha de modificación de cada archivo.

¿Existe algún log en el que se registre qué script ha creado un fichero nuevo en un rango de fechas específico? El atacante creó varias copias del script en cuestión...


Ah, y muchísimas gracias por todo ;)
  #6 (permalink)  
Antiguo 03/01/2013, 12:40
 
Fecha de Ingreso: julio-2007
Mensajes: 415
Antigüedad: 17 años, 5 meses
Puntos: 19
Respuesta: Necesito localizar el origen de un ataque

recuerda que plesk actualiza solo plesk
plesk no actualia php, ya que para ello debes de recompilar PHP
lo mismo ocurre con apache

Si bien desactivar funciones que no necesitas te parece "matar moscas a cañonasos" , el camino que estas pensando tomar en buscar una aguja en un pajar.

Si yo tuviera que elegir entre matar moscas a cañonasos o buscar una aguja en un pajar, optaria por lo primero , es mas rapido y efectivo.

por si estas buscando log , estos normalmente se encuentran en /var/log
__________________
Micro e-business
Dominio & Hosting & Server Dedicados

Etiquetas: logs, ataques
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 06:42.