Hola a todos,
ante todo mis disculpas si este no es el foro adecuado (alguien sabe cual es ? ).
El tema está en que han hackeado una página de una WEB que yo he realizado. El caso es que el espacio web se aloja en la empresa aruba.it, les estoy pidiendo los logs de acceso/error de Apache y los logs del ftp, para poder saber cuando ha sucedido, puesto que tengo la fecha y hora de cuando se modificó el archivo.
El hack, ha consistido en poner un iframe dirigiendo a una pagina que, rapidamente, dirige a otra. Supongo que esa página ejecuta un javascript o algo así y aprovecha alguna vulnerabilidad. el iframe redirige a la IP:
58,65,239,180/ (CUIDADO: he puesto comas en lugar de puntos para que no entreis DIRECTAMENTE).
El caso es que han incluido en la página WEB esta línea (SUSTITUYENDO las X por la direccion IP y un http delante -es que no me deja incluirlo el sistema de foros-):
Código HTML:
<IFRAME name='StatPage' src='XXXXXXXXXXX' width=5 height=5
style='display:none'></IFRAME>
Ignoro como lo han conseguido. Por más que miro los scrips, no veo nada erroneo o vulnerabilidades evidentes (y no tan evidentes). Creo que se debe más a algo de mi proveedor: aruba.it
El caso es que les estoy pidiendo los logs (como os decia) y me dicen que solo los proveen a los jueces y bajo petición.
Es esto normal en los proveedores de Servicios ? Y como leches quieren que vea que ha pasado si no me dan los logs ?
Si a alguien se le ocurre como han podido cambiar un archivo de mi espacio WEB, soy todo ojos y oidos.
Gracias.