elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Archivos extraños en mi sitio web despues de un ataque		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Archivos extraños en mi sitio web despues de un ataque  (Leído 4,524 veces)
gatocano

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Archivos extraños en mi sitio web despues de un ataque
« en: 10 Febrero 2012, 01:07 am »
Hola amigos...

mi sitio fue atacado hoy mediante fuerza bruta a la zona de admin de joomla...no entraron ya que tengo una contraseña bien fuerte pero se generan archivos   php.ini en distintas partes del sitio por ejemplo atacaron   /administrator/index.php



el contenido del php.ini es este

allow_url_fopen = 0

 que será lo que estan intentando hacer??...


saludos!
En línea
Black Poison

Desconectado Desconectado

Mensajes: 4



Ver Perfil WWW
Re: Archivos extraños en mi sitio web despues de un ataque
« Respuesta #1 en: 10 Febrero 2012, 01:26 am »
php.ini es configuracion del php

y allow_url_fopen

es para permitir ejecución remota de archivos

aunque segun yo tendria que estar asi

allow_url_fopen = 1

para estar activado, ni idea de por que se crearon esos archivos :/
En línea
gatocano

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: Archivos extraños en mi sitio web despues de un ataque
« Respuesta #2 en: 10 Febrero 2012, 12:42 pm »
Hola Black Poison como estas...

efectivamente yo tampoco tengo idea de poque se generan estos archivos casi siempre se crean enadministrator y en la raiz del sitio 

voy a esperar un tiepo mas aver si aparece alguna otra cosa que me revele el misterio de estos archivos php.ini

gracias!!!!
Saludos
En línea
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Archivos extraños en mi sitio web despues de un ataque
« Respuesta #3 en: 10 Febrero 2012, 18:03 pm »
Cuidado, si te pueden crear ficheros en los directorios yo me preocuparía bastante. Suerte que parece que no tienen mucha idea, creando un php.ini allí no van a conseguir nada...

allow_url_fopen permite hacer llamadas externas a urls, y es muy usando para llamar a una shell maliciosa y demás.
En línea
gatocano

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: Archivos extraños en mi sitio web despues de un ataque
« Respuesta #4 en: 10 Febrero 2012, 18:43 pm »
hola el-brujo como estas...

tal parece que estos muchachos pillaron mi web (de portfolios) donde tengo todos los trabajos que voy realizadon en diseño de sitios webs  y atacaron uno por uno :S

Las ip las localize con el geolocalizador de este portal y pertenecen a Polonia, Brasil, EEUU y lugares que no puedo localizar ya que no llevan a ningun lado  (yo soy de argentina...)

en todos los sitios webs que desarrollo instalo un plugin para banear la ip y capturar parte del codigo cuando intentan inyectar o atacar por fuerza bruta

este es el reporte que arroja el plugin

Código:
** Union Select [GET:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [GET:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--
** Union Select [REQUEST:userid] => 62/**/uNiOn/**/sEleCt/**/1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/jos_users--
** Table name in url [REQUEST:userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from jos_users--
 
**PAGE / SERVER INFO
 
 
*REMOTE_ADDR :
96.9.149.70
 
*HTTP_USER_AGENT :
Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6
 
*REQUEST_METHOD :
GET
 
*QUERY_STRING :
option=com_idoblog&task=profile&Itemid=1337&userid=62%2F%2A%2A%2FuNiOn%2F%2A%2A%2FsEleCt%2F%2A%2A%2F1%2C0x33633273366962%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%2C13%2C14%2C15%2C16%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users--
 
 
 
** SUPERGLOBALS DUMP (sanitized)
 
 
*$_GET DUMP
 -[option] => com_idoblog
 -[task] => profile
 -[Itemid] => 1337
 -[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--
 
 
*$_POST DUMP
 
 
*$_COOKIE DUMP
 
 
*$_REQUEST DUMP
 -[option] => com_idoblog
 -[task] => profile
 -[Itemid] => 1337
 -[userid] => 62 -- 1,0x33633273366962,3,4,5,6,7,8,9,10,11,12,13,14,15,16 from -- users--

no se si es para precuparme y aumentar mas la seguradad de los sitios tales como proteger la administracion con contraseña del servidor y restringir por un tiempo el sistema de comentario...

saludos!!

gracias
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Que hacer despues de un ataque DoS en el servidor? « 1 2 »
Redes 		JOCCSV 11 9,076 Último mensaje 10 Noviembre 2011, 02:28 am
por JOCCSV
¿Qué diablos es esto!? (Archivos con caracteres extraños y sin ruta en firewall)
Seguridad 		WallMaster 1 2,204 Último mensaje 30 Junio 2013, 06:34 am
por Randomize
Archivos de datos dañados después de un ataque de virus
Análisis y Diseño de Malware 		quimor 2 4,665 Último mensaje 10 Enero 2014, 00:58 am
por bernii
Arrastrar archivos a sitio FTP
Hacking 		kasail 4 4,073 Último mensaje 3 Mayo 2014, 14:12 pm
por kasail
Extraños archivos .ßßß
Dudas Generales 		Cartyui 1 2,241 Último mensaje 22 Junio 2015, 22:44 pm
por gabonewman
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines