Bloquear archivos maliciosos PHP en servidor

rambo_3 · #1 (**permalink**) 01/12/2011, 20:04

Hola, quisiera saber como puedo hacer para bloquear la entrada de archivos maliciosos php a mi servidor, ya que de vez en cuando me lo insertan en el servidor y me redirecciona a otras paginas diciendo que es un hacker. Casi siempre aparece en la carpeta de imagenes y no hay ningun formulario publico en el que el usuario pueda subirlo, ni libro de visitas ni nada. Como logra insertar esos archivos en mi servidor? Como puedo bloquearlo? Utilizo PHP y Mysql.

Ojalá puedan ayudarme. Gracias y saludos.

Triby · #2 (**permalink**) 01/12/2011, 23:26

Si no tienes formularios para subir archivos, mucho me temo que no lo están haciendo por PHP, sino ingresando al servidor, tal vez por SSH. Revisa los permisos de todas las carpetas, si encuentras alguna que esté en 777 cámbialo a 755.

P.D. Al decir "no hay formulario público para subir"... te refieres a que por ahí tienes algún formulario que sí puede subir archivos, pero no hay un enlace visible?... si es así, revisa el código para asegurarte de que estás validando todo correctamente.

enrique4480 · #3 (**permalink**) 02/12/2011, 00:19

Hay que tener en cuenta que se puede subir codigo de mas formas que por un formulario, si usas un cms intenta tenerlo al dia de actualizaciones, si no usas cms revisa el codigo no sea que tengas algun fallo.

rambo_3 · #4 (**permalink**) 02/12/2011, 10:34

Como cambio los permisos 777? eso se hace desde el sevidor?. Si hay un formulario que no tiene enlace visible. No uso cms. A que tipo de fallos en codigo te referis enrique? Estoy muy preocupado con este tema y quisiera poder solucionarlo.

Gracias por contestarme.

enrique4480 · #5 (**permalink**) 02/12/2011, 13:25

pues fallos desde un local/remote file inclusion, un simple xss persistente y desde ahi te redireccionan a otra pagina haciendo creer que esta "hackeado" el sitio, o inyeccion de sql (pudiendote subir codigo con esta ultima tb). por nombrarte algunas.

rambo_3 · #6 (**permalink**) 03/12/2011, 08:49

Y como lo solucionaria Enrique? Que debo modificar del codigo? Solo en la parte de formularios?

enrique4480 · #7 (**permalink**) 03/12/2011, 08:58

rambo_3 sin ver todo el codigo es imposible decirte donde esta el fallo, puede existir mas de uno. ves revisando el codigo poco a poco si es mucho y si en ese tiempo te vuelve a pasar revisa los logs del servidor que seguro veras algo raro.

charlyalegret · #8 (**permalink**) 03/12/2011, 09:51

Te recomiendo qeu estudies un poco sobre el tema, pon en el google "local/remote file inclusion", "simple xss persistente", "inyeccion de sql"... si entiendes como se pueden producir los ataques te será más facil dar con las vulnerabilidades y buscar soluciones.

Existen también herramientas para ello, puedes ver el siguiente hilo: http://www.forosdelweb.com/f18/sql-injection-960309/

Finalmente comentarte si ya vas cambiando el pasword de tu servidor, no sea que te lo han averiguado y entren por ahí. Chequea también que no tengas ningún malware en el pc (existen por ejemplo que detectan lo que tecleeas o haces con el mouse y así pueden dar con tus claves).

Suerte!

rambo_3 · #9 (**permalink**) 03/12/2011, 10:05

Gracias, voy a leer lo que me recomiendan. Fueron muy amables. Gracias.