1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Necesito localizar el origen de un ataque

Tema en 'Servidores Dedicados' iniciado por crash1912, 2 Ene 2013.

  1. crash1912

    crash1912 Nuevo usuario

    Hola a todos, recientemente he encontrado en uno de los dominios que alojo en un dedicado, un par de archivos php un poco sospechosos, los cuales inspeccioné y contenían lo siguiente:

    PHP:
    <?php eval(gzinflate(base64_decode("HZ3HkqvalkX/5bXuDRogPFHxGsJ77zsVeO89.............
    Lo cual, tras decodificarlo muchas veces he accedido al código de la aplicación en sí, tratándose de un completo explorador de archivos, sql, consola...
    En resumen, el atacante ha tenido acceso a todos los php que hay en éste dominio, además de acceso completo a la base de datos, el último día que sucedió ésto fué el 22 de diciembre, me baso en la fecha de creación del script php con el que ha tenido acceso a todo...

    Actualmente estoy cambiando contraseñas de todo aunque no creo que sea suficiente pues si ha metido el archivo una vez, de alguna forma podrá volver a hacerlo...

    De alguna forma podría localizar el origen del agujero de seguridad por el que ha colado el script? temo que vuelva a suceder y vuelva a comprometer toda la seguridad del sitio...

    Como observación, uso Plesk 10.4.4#47, Centos 5...

    Necesito ayuda urgentemente... :???:

    Ah, gracias por adelantado y feliz año a todos!
     
    crash1912, 2 Ene 2013
    #1
  2. Anunciante

    Anunciante

     
  3. hostigal

    hostigal Usuario activo

    deberías dar mas información de la aplicación en sí.
    saludos.
     
    hostigal, 2 Ene 2013
    #2
  4. jrodriguez

    jrodriguez Usuario activo

    mira los registros apache (visitas) o ftp

    para ver como lo entraron
     
    jrodriguez, 2 Ene 2013
    #3
  5. MediaHosting

    MediaHosting Usuario activo

    O mejor ponte en contacto con algún sysadmin.

    Puedes probar en www.proxadmin.es.

    Un saludo.
     
    MediaHosting, 2 Ene 2013
    #4
  6. Hexpress

    Hexpress Nuevo usuario

    Estoy de acuerdo, también puedes checar: assistanz.com

    Saludos, espero que tu problema se resuelva pronto.
     
    Hexpress, 2 Ene 2013
    #5
  7. frankm

    frankm Usuario activo

    Hola crash1912, el principal sospechoso es el script o aplicación.

    Utilizas algún CMS: Joomla, WP ....?

    Salu2
     
    frankm, 3 Ene 2013
    #6
  8. crash1912

    crash1912 Nuevo usuario

    Antes de nada, gracias a todos por vuestras respuestas, los logs he tratado de echarles un vistazo pero no sé exactamente cuál ni por dónde coger... en cuanto a lo que uso está desarrollado completamente por mí, he revisado y todos los datos que se reciben via GET, POST, etc son validados, inyecciones de código yo descartaría... por ahí no creo que haya podido entrar nada...

    ¿Alguna sugerencia de por dónde empezar a mirar?
    Gracias de antemano
     
    crash1912, 3 Ene 2013
    #7
  9. frankm

    frankm Usuario activo

    Hola crash1912, podrías intentar revisar el log de visitas o (últimas visitas) y detectar las IPs de países que son extraños a tu aplicación: Rusia, P. Árabes o Asiáticos...

    Detectar que dirección URL están visitando...podría ser un inicio de tu investigación.

    Salu2
     
    frankm, 3 Ene 2013
    #8
    A FanHost le gusta esto.


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·