config.php hackeado PUEDO HACER ALGO ?

Suyta · #1 (**permalink**) 13/07/2006, 19:53

Hola,
en 3 sitios me hackearon el archivo de configuración.
En todos los casos era config.php con permisos 777 porque el script requiere que tenga esos permisos.
Lo reemplazaron por esto:

Código HTML:

<HTML><HEAD><TITLE>HACKED BY M4NN3R ! 
</TITLE>
<p align="center">

<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<STYLE type=text/css>
.style1 {
	FONT-WEIGHT: bold; FONT-SIZE: 24px; COLOR: #ff0000; FONT-FAMILY: Papyrus
}
.style2 {
	color: #CCCCCC;
	font-weight: bold;
	font-size: 36px;
}
.style3 {color: #CCCCCC; font-weight: bold; font-size: 24px; }
.style5 {font-size: 18px; color: #FF0000;}
.style6 {color: #FF0000; font-weight: bold; font-size: 24px; font-family: Georgia, "Times New Roman", Times, serif; }
.style7 {
	color: #CCCCCC;
	font-size: 10px;
}
.style8 {color: #CCCCCC; font-weight: bold; font-size: 24px; font-family: Georgia, "Times New Roman", Times, serif; }
.style10 {font-size: 14px}
.style11 {
	font-weight: bold;
	color: #CCCCCC;
	font-size: 9px;
}
</STYLE>

<META content="Microsoft FrontPage 5.0" name=GENERATOR></HEAD>
<BODY bgColor=#000000 onload=teclear();>
</p>
<P>
<STYLE>.layermensaje {
	FONT-SIZE: 9pt; COLOR: #ffffff; LINE-HEIGHT: 13pt; FONT-FAMILY: "arial"
}
</STYLE>

<SCRIPT language=javascript>

</SCRIPT>
</P>
<P></P>
<P align=center>
<P align=center class="style6">Hacked By M4NN3R
<P align=center class="style2">"Stop War"
<P align=center class="style6">D3NG3S1Z T34M
<P align=center class="style3">Your system was very secure
<P align=center class="style3">But I'm system FuckerZzZzZ...
<P align=center class="style3">contact:
<P align=center class="style5">[email protected]
<P align=center class="style5 style7">Hello World.Afraid Of Us !
<P align=center class="style6">Special Thx : d3ngsz - d4rkz - Keycoder -Powerful - Secretlyx
<div align="left" class="style7">
  <center>
  <p></p>
  </center>
  <div align="center">
    <div align="right">
      <PRE class="style8">&nbsp;</PRE>
    </div>
  </div>
</div>
</BODY>
<EMBED src="http://www.retaptekstil.com/logs/bayirakarsi.mp3" WIDTH="0" HEIGHT="0">
<br><br><br><br><br>
</HTML>

Estuve viendo por ahí que hay formas de evitar que cambien el índice de un sitio pero no puedo encontrar nada para este problema.
Alguien puede ayudarme ? Puedo evitar que esto suceda ?
Es tan sencillo lograr cambiar la configuración entonces y dejarte sin web ?

Gracias y saludos a todos.

Fridureiks · #2 (**permalink**) 13/07/2006, 20:09

3 sitios diferentes 'rotos' por el mismo personaje?

Que script es el que usas? que hace? de donde salio?
Cuenta un poco mas!

Suyta · #3 (**permalink**) 13/07/2006, 20:28

Es un script comercial que se usa para administrar galerías de arte. Son webs dinámicas con el catálogo correspondiente, registro de usuarios, suscripción a boletines, galería de imágenes, un panel para el admin y no mucho más que eso. El creador es un amigo de mi jefe o pariente no sé bien, yo sólo administro y le he hecho algunos modulitos que fueron lo único que no se afectó porque usan otro archivo de configuración.
Está encriptado con Zend, salvo los archivos de configuración como el que fue hackeado.
No sé qué otro dato puedo dar

DarioDario · #4 (**permalink**) 13/07/2006, 22:14

El código fuente seria ensencial para poder ayudarte a solucionar el problema de seguridad. Si no vemos el código fuente las unicas personas que pueden ayudarte son esos personajes. De todas formas revisa los log's para poder rastrear la ip del hacker y poder banear su ip y ganar algo de tiempo mientras recuperas y vuelves a subir la info y vemos la solución.
Ten encuenta que si no se arregla el código fuente y no lo modificamos para que ya no suceda, puede venir cualquier otro a hackearte esta aplicación.

Saludos.

Suyta · #5 (**permalink**) 14/07/2006, 06:40

pues entonces estoy lista porque no hay cómo acceder al código, está todo encriptado.
Y sí, creo que fue sólo un alerta pero que en cualquier momento "vuelan" todo

NightDark · #6 (**permalink**) 14/07/2006, 06:55

Cita:

Iniciado por Suyta

pues entonces estoy lista porque no hay cómo acceder al código, está todo encriptado.
Y sí, creo que fue sólo un alerta pero que en cualquier momento "vuelan" todo

Dices que no hay forma de acceder al código?
entonces cómo descubrieron esa vulnerabilidad los pequeños sriptkiddies éstos?
sería mejor que siguieras el consejo de Dario, a menos claro que fuera una aplicación comercial, y creo que eso tendrías que reportarselo al dueño del script para que "auditee" su codigo si es que sabe algo de seguridad en PHP...

Por otra parte, esos amiguitos no te dejarán de fastidiar, lo mismo me hicieron a mí la otra semana y ya los rastrie (sé donde viven, que tipo de conexión usan, sus nicks, que paginas web tienen, de que país son etc..)

Lo mejor sería denunciarlos pero todo depende del país donde vivas y sus leyes... en fin...

PD: si no haces algo, esos locos te seguirán fastidiando... un defacer askeroso no deja en paz hasta que reparas tu vuln... Juaa esos jovencitos deberían ir a la cárcel.. luego luego salen en la tele como dioses y sinceramente dan risa.. que ni programar saben.

MonicaH · #7 (**permalink**) 14/07/2006, 07:03

Te sugiero que no utilices los prefabricados mas que para webs de ocio... o de poca importancia.

Si se trata de clientes de valor, debes contratar a programadores que te realicen codigo seguro que no esta DISPONiBLE EN INTERNET

Claro, el codigo de ellos tambien puede ser inseguro, por ello debes asesorarte MUY BIEN.

NightDark · #8 (**permalink**) 14/07/2006, 07:47

Cita:

Iniciado por MonicaH

Te sugiero que no utilices los prefabricados mas que para webs de ocio... o de poca importancia.

Si se trata de clientes de valor, debes contratar a programadores que te realicen codigo seguro que no esta DISPONiBLE EN INTERNET

Claro, el codigo de ellos tambien puede ser inseguro, por ello debes asesorarte MUY BIEN.

En mi humilde opinión, no importa si el código es libre o no (esté disponible a miles de personas o sea cerrado), aún así es posible auditarlo y descubrir vulns directamente desde el navegador, on the fly...

un saludo.

Suyta · #9 (**permalink**) 14/07/2006, 09:10

Gracias a todos chicos.
El soft es comercial (y bastante costoso tengo entendido). El código fuente no lo tenemos, está todo encriptado como ya dije.
Supongo que mi jefe podrá pedir soporte al creador del soft pero está de viaje y yo no tengo sus datos... sí, es así

como les cuento.
Cómo descubrieron las vulnerabilidades ? mi humilde opinión (porque ya se habrán dado cuenta que soy una novata) es que conocen el script, simplemente eso.
Lo que no llego a entender y esto les pido por favor que alguien me aclare: hackean el soft o hackean el server ?
Besos.

Cluster · #10 (**permalink**) 14/07/2006, 09:31

El soft es comercial (y bastante costoso tengo entendido). El código fuente no lo tenemos, está todo encriptado como ya dije.

Pues entonces reclama a:
1) fabricante de ese Sof.
2) tu proveedor de del servicio de hosting

NO es normal que uno llegue y edite un archivo .php así como así ..

Por ejemplo .. permisos escesivos de dicho archivo podrían dar problemas de seguridad .. sobre todo en servicios de hosting compartidos donde con un "fopen()" puedes acceder a archivos de "vecios" (de otros sitios albergados en es servicio de hosting) sólo sabiendo la ruta absoluta del archivo .. la cual se puede obtener muy facilmente probocando un error en la aplicación (y que esta no contemple procesar los mensajes de error para no mostrarlos, cosa que tendría que arreglar quien te vendió esa aplicación) o por ejemplo por qué tu sitio hace "index" de los archivos del sitio si entras a un directorio cualquier sin un index.php o .html definido ...

La mayoría de problemas son própios de la aplicación .. otros tantos de configuración general del servidor (un "safe mode" .. cosa que tu no puedes ajustar de PHP asegura ver archivos de "vecionos" en servidores de hosting compartidos ... por ejemplo ..).

Un saludo,

Suyta · #11 (**permalink**) 14/07/2006, 09:56

Muchísimas gracias Cluster

Estoy imprimiendo

netserver · #12 (**permalink**) 14/07/2006, 11:56

conversa con tu proveedor de hosting para que proteja tu archivo config.php
de esta manera este archivo solo sera ejecutable para las paginas mas no para un usuario externo.

MonicaH · #13 (**permalink**) 15/07/2006, 09:23

Tambien es posible que el creador/la esposa/el socio rencoros/su hijo traviezo...

Es decir, que los mismos del SOFT estan saboteando pa ver si les das + lana.

O uno de su propia empresa...

O tu misma sonambula?...

Esto ultimo en broma, pero hay que hacer tambien un seguimiento de accesos al server.

Esos estan en los LOGS.

Tienen la IP desde la que modificaron el file ?

Busca un poco + de info, no solo:

"Me dañaron un file y ahora lo reparo"...

Como sabes que no hay otros files saboteados ?

El que no salga por pantalla no quiere ecir que todo esta bien.

Suyta · #14 (**permalink**) 15/07/2006, 13:59

Hola a todos, gracias a todos.
No sé por dónde empezar...
En primer lugar hoy me hackearon de nuevo.
El tema fue que escuchándolos a Uds. (bue, leyéndolos) le pedí al administrador que protegiera el archivo famoso. Me dijo que iba a activar safe_mode (menos mal que algo me había dicho Cluster porque sino moría sin entender un pomo) pero al rato empezaron a quejarse otros clientes porque sus scripts no funcionaban. Entonces lo desactivaron y me cambió los permisos de los archivos de configuracion, dejó todos en 644 menos uno que quedó 666. En el mismo minuto que los terminaba de cambiar volvieron a hackear ese que quedó con permisos 666.
Ahí llegaron a la conclusión que tenía que ser un 'vecino' que tenía acceso shell y se lo sacaron y ahora estamos aquí esperando ver qué pasa.
La verdad ?

Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ? se pueden ver otras cuentas entonces y manipular las carpetas vecinas ?... pregunto esto porque algo entendí de lo que me explicaron de fopen pero... necesito saber la ruta... o no ?... porque la primera vez hackearon todo lo que tenia la palabra 'config' en alguna parte pero ahora el file se llama inuse.php... es como si estuvieron 'viendo' la estructura... o hablo ganzadas ?
Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?
MonicaH no sé si la primera vez había otros archivos dañados porque corrí un restore... hoy no, hoy sólo reemplacé los archivos hackeados con los originales... puede ser que empiece a fallar algo en algún momento, ya les contaré.
Toi agotada

Besos

Cluster · #15 (**permalink**) 17/07/2006, 07:12

Cita:

Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ?

Bueno .. si no sabian que PHP para un trabajo "seguro" se puede activar el "safe mode" .. no creo que sepan ni lo que es una "jaula shell" .. al estilo "FTP" (servidor) cuando creas una cuenta de FTP y le asignas un "root" própio desde donde (hacia abajo) se puede desplazar el usuario).

Un acceso Shell sin "enjaular" permite moverse por toda la estructura de directorios del servidor .. Si a eso le sumas que los permisos de archivos estan a "0777" o alguno tipo "permiso de escritura a todo usuario" .. con más razón pueden editar cualquier archivo del servidor. (Igualmente con un simple vistazo se vé con qué usuario quedó al realizar esa modificación como para capturar quien (que cuenta) lo hizo!!).

Cita:

Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?

No . ese no el log que te interesa ver. En ese log sólo ves los accesos al servidor HTTP y lo que el controla .. no de archivos ni de login's en el sistema (por shell) ni nada por el estilo.

Un saludo,

Suyta · #16 (**permalink**) 17/07/2006, 07:35

Clarísimo Cluster (como siempre).
Muchísimas gracias !!!
Aparentemente fue ese 'vecino' (desde que le sacaron el acceso está tranquila la cosa, veremos) y evidentemente el servidor no está configurado de manera segura.
Hackearon varios sitios (casi todos) y a los que usan Nuke les tocaron la data también.
Cariños.

Cluster · #17 (**permalink**) 17/07/2006, 07:55

Cita:

Iniciado por Suyta

Clarísimo Cluster (como siempre).
Muchísimas gracias !!!
Aparentemente fue ese 'vecino' (desde que le sacaron el acceso está tranquila la cosa, veremos) y evidentemente el servidor no está configurado de manera segura.
Hackearon varios sitios (casi todos) y a los que usan Nuke les tocaron la data también.
Cariños.

Como "escarmiento" (para tu proveedor) deberías de cambiarte de proveedor, .. así aprenderan a configurar sus servidores en forma -algo- más segura .. por qué realmente la configuración que tienen es como de "andar por casa".

En un servicio de hosting compartido no se puede confiar en nadie!. El aceso Shell .. bajo "jaula" y monitoreado constantemente, PHP en modo "seguro" (sé que eso plantea muchos problemas a programadores PHP sin tanta experiencia .. pues hay muchas cosas que con "safe mode" no se implementan igual ..) pero deberían plantearselo .. al menos una restricción por "open_base_dir" o directivas similares .. En fin .. yo no soy un "experto" en seguridad o configuración de Linux .. pero es lo "mínimo" que cualquier "administrador" de un servidor Linux debería saber.

Un saludo,

MonicaH · #18 (**permalink**) 18/07/2006, 09:32

Despues de las ayudas de Cluster no es mucho lo que yo pueda aportar, pero...

Nunca dejes tus files en 777, si requieres que tenga permiso de escritura, pos dejalos 077 eso mejora la SEG.

Con tu SHELL corre una opcion que es [ last ], busca el parametro que ahora no recuerdo y el cual te permitira VER que hizo QUIEN.

Lo que dice CLUSTER es una vaina llamada JAILSHELL lo tienes en tu server ?.

Si no, es como dice C. cambiate cuanto antes de empresa, pos les falta bastante. Por eso yo no tomo un dedicado, pos no lo se ADMIN, si supiera, pos parte 1: SEGURIDAD, SEGURIDAD, SEGURIDAD.

Lo 2: No te aficiones a los prefab. Siempre tenes un HUECOTOTOTOTE de SEG en ellos.

Cluster · #19 (**permalink**) 18/07/2006, 09:48

Lo malo es cuando el proveedor por -nuestra seguridad- empieza a levantar servicios como: PHsuexec ("safe mode") .. implementa las "jailShell", y sistemas de ese estilo luego llega el "programador" de turno que le falla un "fopen()" y reclama por qué no le funciona su código (sin atender que bajo ese sistema de seguridad algunas técnicas cambian o se hacen más complejas, sobre todo hay que conocer lo que se hace bien ...), ahí el "proveedor" no sabe que hacer: mantiene el cliente y reza que no salga el usuario mal-intencionado de turno a realizar alguna "maldad"? .. o pierde el cliente. Esto es un "negocio" lamentablemente .. a veces se impone la "comodidad" y "no dar problemas" al cliente en lugar de prevalecer la -seguridad-.

Un saludo,

lugano · #20 (**permalink**) 31/08/2006, 14:34

Hola a todos, hoy han hackeado el servidor donde alojo mi página y el ataque entre otras cosas que dezconozco CAMBIO todas las páginas INDEX (php, html,htm) que habia en el sitio, por la de estos infelices (se ve que no encuentran novia).

Leyendo los post, veo que el consejo es cambiarse de hosting, por eso les quiero preguntar por un buen hosting y solo para entender un poco como es esto, como es posible que hayan cambiado las páginas index: a mano? o con un software? o como.

Lo mismo que se veía en mi página se veía en otros sitios alojadas en el mismo servidor. (no publico el mensaje hacker para no hacerles publicidad).

Saludos.