Archivos extraños en mi sitio web despues de un ataque

Iniciado por gatocano, 10 Febrero 2012, 01:07 AM

0 Miembros y 1 Visitante están viendo este tema.

gatocano

Hola amigos...

mi sitio fue atacado hoy mediante fuerza bruta a la zona de admin de joomla...no entraron ya que tengo una contraseña bien fuerte pero se generan archivos   php.ini en distintas partes del sitio por ejemplo atacaron   /administrator/index.php



el contenido del php.ini es este

allow_url_fopen = 0

que será lo que estan intentando hacer??...


saludos!

Black Poison

php.ini es configuracion del php

y allow_url_fopen

es para permitir ejecución remota de archivos

aunque segun yo tendria que estar asi

allow_url_fopen = 1

para estar activado, ni idea de por que se crearon esos archivos :/

gatocano

Hola Black Poison como estas...

efectivamente yo tampoco tengo idea de poque se generan estos archivos casi siempre se crean enadministrator y en la raiz del sitio 

voy a esperar un tiepo mas aver si aparece alguna otra cosa que me revele el misterio de estos archivos php.ini

gracias!!!!
Saludos

el-brujo

Cuidado, si te pueden crear ficheros en los directorios yo me preocuparía bastante. Suerte que parece que no tienen mucha idea, creando un php.ini allí no van a conseguir nada...

allow_url_fopen permite hacer llamadas externas a urls, y es muy usando para llamar a una shell maliciosa y demás.

gatocano

hola el-brujo como estas...

tal parece que estos muchachos pillaron mi web (de portfolios) donde tengo todos los trabajos que voy realizadon en diseño de sitios webs  y atacaron uno por uno :S

Las ip las localize con el geolocalizador de este portal y pertenecen a Polonia, Brasil, EEUU y lugares que no puedo localizar ya que no llevan a ningun lado  (yo soy de argentina...)

en todos los sitios webs que desarrollo instalo un plugin para banear la ip y capturar parte del codigo cuando intentan inyectar o atacar por fuerza bruta

este es el reporte que arroja el plugin

** Union Select [GET:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [GET:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--
** Union Select [REQUEST:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [REQUEST:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--

**PAGE / SERVER INFO


*REMOTE_ADDR :
96.9.149.70

*HTTP_USER_AGENT :
Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_idoblog&task=profile&Itemid=1337&userid=62%2F%2A%2A%2FuNiOn%2F%2A%2A%2FsEleCt%2F%2A%2A%2F1%2C0x33633273366962%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%2C13%2C14%2C15%2C16%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users--



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
-[option] => com_idoblog
-[task] => profile
-[Itemid] => 1337
-[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
-[option] => com_idoblog
-[task] => profile
-[Itemid] => 1337
-[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--


no se si es para precuparme y aumentar mas la seguradad de los sitios tales como proteger la administracion con contraseña del servidor y restringir por un tiempo el sistema de comentario...

saludos!!

gracias