Título: Me están atacando y no se ni como ni por donde Publicado por: Zedmix en 17 Mayo 2012, 12:13 pm Muy buenas, actualmente estoy recibiendo un ataque en mi sitio web, este sitio web proporciona pequeñas páginas webs a pequeñas empresas y autónomos, esta mañana cuando han intentado acceder al sitio web nos hemos encontrado con que no carga la portada, el título de la página no se muestra y en el lugar donde debe de estar todo el contenido nos muestra lo siguiente ubbylys.ru/count28.php al introducir esta url en el navegador accede al sitio web http://178.162.157.189/70470006.html dando un eror 404 Not Found cosa que no comprendo. ¿alguna idea? ya no es una solución sino también el como lo han podido hacer, gracias un saludo.
Título: Re: Me están atacando y no se ni como ni por donde Publicado por: it3r en 17 Mayo 2012, 16:38 pm mm podrías revisar los logs del apache comúnmente en /var/logs/httpd mira si encuentras algo sospechoso como intentos de sql injection o alguna cosa, luego revisa si es que existe algún nuevo usuario creado en el sistema, revisa su historial de comandos (.bash_history), quizás haya sido un ataque automatizado, osea algún bot que se encargue de escanear y automáticamente inyectar malware en las paginas.
de todos modos no olvides que si usas algún CMS o parecido, debes mantenerlo actualizado. Saludos Título: Re: Me están atacando y no se ni como ni por donde Publicado por: el-brujo en 17 Mayo 2012, 17:29 pm si os han cambiado la página no es un ataque, es un hackeo xD
Mi consejo es que restaures una copia de seguridad e investigues cómo han podido acceder, tal y como te comentan, mirando los logs y demás. Aquí tienes un ejemplo de por dónde empezar: http://foro.elhacker.net/seguridad/hackearon_la_empresa_confirmado-t358070.0.html;msg1738306#msg1738306 Título: Re: Me están atacando y no se ni como ni por donde Publicado por: $Edu$ en 17 Mayo 2012, 19:14 pm Fijate tambien si no te han instalado una shell para poder entrar las veces que quieran luego.
Título: Re: Me están atacando y no se ni como ni por donde Publicado por: Zedmix en 18 Mayo 2012, 09:48 am Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.
Código: sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" Título: Re: Me están atacando y no se ni como ni por donde Publicado por: it3r en 18 Mayo 2012, 18:12 pm Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log. Código: sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" Yandex.ru es el buscador mas conocido de rusia según he escuchado, esos logs solo muestran al BOT de yandex.ru indexando tu web. No se si ya modificaste tu archivo php, si no, podrías ver la ultima fecha de modificación y revisar en el log mas o menos antes de la ultima fecha de modificación.También podrías ver los logs desde la ultima vez que estaba bien tu web. Puedes ayudarte de los comandos tail y grep un ejemplo: Las ultimas 1000 lineas del acces_log-01 y que muestre solo las lineas que contengan AND Código: tail -1000 /var/log/httpd/access_log-01 | grep AND El and es un patrón común en las sql injections, tambien podrias buscar patrones sobre RFI. Saludos Título: Re: Me están atacando y no se ni como ni por donde Publicado por: Zedmix en 18 Mayo 2012, 18:52 pm Muy buenas continuo aquí investigando, como ha dicho el compañero @it3r he comprobado los últimos archivos con modificaciones, y me he encontrado con tres archivos que se han modificado recientemente, que son: index.php, asdf.html y .htaccess ambos están modificados a la misma hora y el mismo día los abriré y os comento en breve.
Gracias Título: Re: Me están atacando y no se ni como ni por donde Publicado por: Zedmix en 19 Mayo 2012, 11:26 am Buenas, después de revisar los archivos:
También mostraros el contenido del archivo .htaccess Código: #d93065# Título: Re: Me están atacando y no se ni como ni por donde Publicado por: it3r en 19 Mayo 2012, 17:36 pm no se si estas en un hosting o un server que tu mismo administras pero como te comentaron antes, debes restaurar con una copia de seguridad que tengas, si no la tienes (muy mal hecho xD) y estas en un hosting pregunta si ellos tienen una copia de seguridad de tu web y si estas en un servidor controlado por ti, entonces lee el link que te pasaron antes.
Saludos Título: Re: Me están atacando y no se ni como ni por donde Publicado por: h3ct0r en 1 Junio 2012, 17:22 pm El .htaccess es solo una cara de la moneda, revisa BIEN tus archivos php, puede que hagas include a algun script que no hallas revisado con detalle y tiene alguna referencia a ubbylys.ru. Lo mas probable es que sea algun pedazo de código ofuscado que muestre un javascript maligno así que dales una buena ojeada.
Si no encuentras nada raro en las fuentes, usa tamper data o live http headers para firefox y ve como se hacen los request desde tu pagina, capaz te ayude a ver donde están localizados los script maliciosos. Offtopic : Últimamente están de moda los crackers rusos y chinos defaceando por ahí :silbar: |