|
Título: Archivos extraños en mi sitio web despues de un ataque Publicado por: gatocano en 10 Febrero 2012, 01:07 am Hola amigos...
mi sitio fue atacado hoy mediante fuerza bruta a la zona de admin de joomla...no entraron ya que tengo una contraseña bien fuerte pero se generan archivos php.ini en distintas partes del sitio por ejemplo atacaron /administrator/index.php (http://dl.dropbox.com/u/56114879/Temporales/Pantallazo.jpg) el contenido del php.ini es este allow_url_fopen = 0 que será lo que estan intentando hacer??... saludos! Título: Re: Archivos extraños en mi sitio web despues de un ataque Publicado por: Black Poison en 10 Febrero 2012, 01:26 am php.ini es configuracion del php
y allow_url_fopen es para permitir ejecución remota de archivos aunque segun yo tendria que estar asi allow_url_fopen = 1 para estar activado, ni idea de por que se crearon esos archivos :/ Título: Re: Archivos extraños en mi sitio web despues de un ataque Publicado por: gatocano en 10 Febrero 2012, 12:42 pm Hola Black Poison como estas...
efectivamente yo tampoco tengo idea de poque se generan estos archivos casi siempre se crean enadministrator y en la raiz del sitio voy a esperar un tiepo mas aver si aparece alguna otra cosa que me revele el misterio de estos archivos php.ini gracias!!!! Saludos Título: Re: Archivos extraños en mi sitio web despues de un ataque Publicado por: el-brujo en 10 Febrero 2012, 18:03 pm Cuidado, si te pueden crear ficheros en los directorios yo me preocuparía bastante. Suerte que parece que no tienen mucha idea, creando un php.ini allí no van a conseguir nada...
allow_url_fopen permite hacer llamadas externas a urls, y es muy usando para llamar a una shell maliciosa y demás. Título: Re: Archivos extraños en mi sitio web despues de un ataque Publicado por: gatocano en 10 Febrero 2012, 18:43 pm hola el-brujo como estas...
tal parece que estos muchachos pillaron mi web (de portfolios) donde tengo todos los trabajos que voy realizadon en diseño de sitios webs y atacaron uno por uno :S Las ip las localize con el geolocalizador de este portal y pertenecen a Polonia, Brasil, EEUU y lugares que no puedo localizar ya que no llevan a ningun lado (yo soy de argentina...) en todos los sitios webs que desarrollo instalo un plugin para banear la ip y capturar parte del codigo cuando intentan inyectar o atacar por fuerza bruta este es el reporte que arroja el plugin Código: ** Union Select [GET:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users-- no se si es para precuparme y aumentar mas la seguradad de los sitios tales como proteger la administracion con contraseña del servidor y restringir por un tiempo el sistema de comentario... saludos!! gracias |