Foros del Web » Programando para Internet » PHP »

config.php hackeado PUEDO HACER ALGO ?

Estas en el tema de config.php hackeado PUEDO HACER ALGO ? en el foro de PHP en Foros del Web. Hola, en 3 sitios me hackearon el archivo de configuración. En todos los casos era config.php con permisos 777 porque el script requiere que tenga ...
  #1 (permalink)  
Antiguo 13/07/2006, 20:53
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Exclamación config.php hackeado PUEDO HACER ALGO ?

Hola,
en 3 sitios me hackearon el archivo de configuración.
En todos los casos era config.php con permisos 777 porque el script requiere que tenga esos permisos.
Lo reemplazaron por esto:
Código HTML:
<HTML><HEAD><TITLE>HACKED BY M4NN3R ! 
</TITLE>
<p align="center">

<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<STYLE type=text/css>
.style1 {
	FONT-WEIGHT: bold; FONT-SIZE: 24px; COLOR: #ff0000; FONT-FAMILY: Papyrus
}
.style2 {
	color: #CCCCCC;
	font-weight: bold;
	font-size: 36px;
}
.style3 {color: #CCCCCC; font-weight: bold; font-size: 24px; }
.style5 {font-size: 18px; color: #FF0000;}
.style6 {color: #FF0000; font-weight: bold; font-size: 24px; font-family: Georgia, "Times New Roman", Times, serif; }
.style7 {
	color: #CCCCCC;
	font-size: 10px;
}
.style8 {color: #CCCCCC; font-weight: bold; font-size: 24px; font-family: Georgia, "Times New Roman", Times, serif; }
.style10 {font-size: 14px}
.style11 {
	font-weight: bold;
	color: #CCCCCC;
	font-size: 9px;
}
</STYLE>

<META content="Microsoft FrontPage 5.0" name=GENERATOR></HEAD>
<BODY bgColor=#000000 onload=teclear();>
</p>
<P>
<STYLE>.layermensaje {
	FONT-SIZE: 9pt; COLOR: #ffffff; LINE-HEIGHT: 13pt; FONT-FAMILY: "arial"
}
</STYLE>

<SCRIPT language=javascript>

</SCRIPT>
</P>
<P></P>
<P align=center>
<P align=center class="style6">Hacked By M4NN3R
<P align=center class="style2">"Stop War"
<P align=center class="style6">D3NG3S1Z T34M
<P align=center class="style3">Your system was very secure
<P align=center class="style3">But I'm system FuckerZzZzZ...
<P align=center class="style3">contact:
<P align=center class="style5">[email protected]
<P align=center class="style5 style7">Hello World.Afraid Of Us !
<P align=center class="style6">Special Thx : d3ngsz - d4rkz - Keycoder -Powerful - Secretlyx
<div align="left" class="style7">
  <center>
  <p></p>
  </center>
  <div align="center">
    <div align="right">
      <PRE class="style8">&nbsp;</PRE>
    </div>
  </div>
</div>
</BODY>
<EMBED src="http://www.retaptekstil.com/logs/bayirakarsi.mp3" WIDTH="0" HEIGHT="0">
<br><br><br><br><br>
</HTML> 
Estuve viendo por ahí que hay formas de evitar que cambien el índice de un sitio pero no puedo encontrar nada para este problema.
Alguien puede ayudarme ? Puedo evitar que esto suceda ?
Es tan sencillo lograr cambiar la configuración entonces y dejarte sin web ?

Gracias y saludos a todos.
  #2 (permalink)  
Antiguo 13/07/2006, 21:09
 
Fecha de Ingreso: julio-2005
Ubicación: Buenos Aires, Argentina
Mensajes: 1.304
Antigüedad: 12 años, 5 meses
Puntos: 6
3 sitios diferentes 'rotos' por el mismo personaje?

Que script es el que usas? que hace? de donde salio?
Cuenta un poco mas!
__________________
Federico.

Mi página: www.jourmoly.com.ar
  #3 (permalink)  
Antiguo 13/07/2006, 21:28
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Es un script comercial que se usa para administrar galerías de arte. Son webs dinámicas con el catálogo correspondiente, registro de usuarios, suscripción a boletines, galería de imágenes, un panel para el admin y no mucho más que eso. El creador es un amigo de mi jefe o pariente no sé bien, yo sólo administro y le he hecho algunos modulitos que fueron lo único que no se afectó porque usan otro archivo de configuración.
Está encriptado con Zend, salvo los archivos de configuración como el que fue hackeado.
No sé qué otro dato puedo dar
  #4 (permalink)  
Antiguo 13/07/2006, 23:14
 
Fecha de Ingreso: junio-2005
Mensajes: 981
Antigüedad: 12 años, 6 meses
Puntos: 2
El código fuente seria ensencial para poder ayudarte a solucionar el problema de seguridad. Si no vemos el código fuente las unicas personas que pueden ayudarte son esos personajes. De todas formas revisa los log's para poder rastrear la ip del hacker y poder banear su ip y ganar algo de tiempo mientras recuperas y vuelves a subir la info y vemos la solución.
Ten encuenta que si no se arregla el código fuente y no lo modificamos para que ya no suceda, puede venir cualquier otro a hackearte esta aplicación.

Saludos.
  #5 (permalink)  
Antiguo 14/07/2006, 07:40
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1

pues entonces estoy lista porque no hay cómo acceder al código, está todo encriptado.
Y sí, creo que fue sólo un alerta pero que en cualquier momento "vuelan" todo
  #6 (permalink)  
Antiguo 14/07/2006, 07:55
 
Fecha de Ingreso: enero-2006
Ubicación: mi casa
Mensajes: 255
Antigüedad: 11 años, 10 meses
Puntos: 0
Cita:
Iniciado por Suyta

pues entonces estoy lista porque no hay cómo acceder al código, está todo encriptado.
Y sí, creo que fue sólo un alerta pero que en cualquier momento "vuelan" todo
Dices que no hay forma de acceder al código?
entonces cómo descubrieron esa vulnerabilidad los pequeños sriptkiddies éstos?
sería mejor que siguieras el consejo de Dario, a menos claro que fuera una aplicación comercial, y creo que eso tendrías que reportarselo al dueño del script para que "auditee" su codigo si es que sabe algo de seguridad en PHP...

Por otra parte, esos amiguitos no te dejarán de fastidiar, lo mismo me hicieron a mí la otra semana y ya los rastrie (sé donde viven, que tipo de conexión usan, sus nicks, que paginas web tienen, de que país son etc..)

Lo mejor sería denunciarlos pero todo depende del país donde vivas y sus leyes... en fin...

PD: si no haces algo, esos locos te seguirán fastidiando... un defacer askeroso no deja en paz hasta que reparas tu vuln... Juaa esos jovencitos deberían ir a la cárcel.. luego luego salen en la tele como dioses y sinceramente dan risa.. que ni programar saben.
  #7 (permalink)  
Antiguo 14/07/2006, 08:03
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 11 años, 6 meses
Puntos: 1
Te sugiero que no utilices los prefabricados mas que para webs de ocio... o de poca importancia.

Si se trata de clientes de valor, debes contratar a programadores que te realicen codigo seguro que no esta DISPONiBLE EN INTERNET

Claro, el codigo de ellos tambien puede ser inseguro, por ello debes asesorarte MUY BIEN.
  #8 (permalink)  
Antiguo 14/07/2006, 08:47
 
Fecha de Ingreso: enero-2006
Ubicación: mi casa
Mensajes: 255
Antigüedad: 11 años, 10 meses
Puntos: 0
Cita:
Iniciado por MonicaH
Te sugiero que no utilices los prefabricados mas que para webs de ocio... o de poca importancia.

Si se trata de clientes de valor, debes contratar a programadores que te realicen codigo seguro que no esta DISPONiBLE EN INTERNET

Claro, el codigo de ellos tambien puede ser inseguro, por ello debes asesorarte MUY BIEN.
En mi humilde opinión, no importa si el código es libre o no (esté disponible a miles de personas o sea cerrado), aún así es posible auditarlo y descubrir vulns directamente desde el navegador, on the fly...

un saludo.
  #9 (permalink)  
Antiguo 14/07/2006, 10:10
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Gracias a todos chicos.
El soft es comercial (y bastante costoso tengo entendido). El código fuente no lo tenemos, está todo encriptado como ya dije.
Supongo que mi jefe podrá pedir soporte al creador del soft pero está de viaje y yo no tengo sus datos... sí, es así como les cuento.
Cómo descubrieron las vulnerabilidades ? mi humilde opinión (porque ya se habrán dado cuenta que soy una novata) es que conocen el script, simplemente eso.
Lo que no llego a entender y esto les pido por favor que alguien me aclare: hackean el soft o hackean el server ?
Besos.
  #10 (permalink)  
Antiguo 14/07/2006, 10:31
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
El soft es comercial (y bastante costoso tengo entendido). El código fuente no lo tenemos, está todo encriptado como ya dije.

Pues entonces reclama a:
1) fabricante de ese Sof.
2) tu proveedor de del servicio de hosting

NO es normal que uno llegue y edite un archivo .php así como así ..

Por ejemplo .. permisos escesivos de dicho archivo podrían dar problemas de seguridad .. sobre todo en servicios de hosting compartidos donde con un "fopen()" puedes acceder a archivos de "vecios" (de otros sitios albergados en es servicio de hosting) sólo sabiendo la ruta absoluta del archivo .. la cual se puede obtener muy facilmente probocando un error en la aplicación (y que esta no contemple procesar los mensajes de error para no mostrarlos, cosa que tendría que arreglar quien te vendió esa aplicación) o por ejemplo por qué tu sitio hace "index" de los archivos del sitio si entras a un directorio cualquier sin un index.php o .html definido ...

La mayoría de problemas son própios de la aplicación .. otros tantos de configuración general del servidor (un "safe mode" .. cosa que tu no puedes ajustar de PHP asegura ver archivos de "vecionos" en servidores de hosting compartidos ... por ejemplo ..).

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #11 (permalink)  
Antiguo 14/07/2006, 10:56
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Muchísimas gracias Cluster
Estoy imprimiendo
  #12 (permalink)  
Antiguo 14/07/2006, 12:56
 
Fecha de Ingreso: mayo-2006
Ubicación: lima - peru
Mensajes: 287
Antigüedad: 11 años, 6 meses
Puntos: 4
conversa con tu proveedor de hosting para que proteja tu archivo config.php
de esta manera este archivo solo sera ejecutable para las paginas mas no para un usuario externo.
  #13 (permalink)  
Antiguo 15/07/2006, 10:23
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 11 años, 6 meses
Puntos: 1
Tambien es posible que el creador/la esposa/el socio rencoros/su hijo traviezo...

Es decir, que los mismos del SOFT estan saboteando pa ver si les das + lana.

O uno de su propia empresa...

O tu misma sonambula?...

Esto ultimo en broma, pero hay que hacer tambien un seguimiento de accesos al server.

Esos estan en los LOGS.

Tienen la IP desde la que modificaron el file ?

Busca un poco + de info, no solo:

"Me dañaron un file y ahora lo reparo"...

Como sabes que no hay otros files saboteados ?

El que no salga por pantalla no quiere ecir que todo esta bien.
  #14 (permalink)  
Antiguo 15/07/2006, 14:59
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Hola a todos, gracias a todos.
No sé por dónde empezar...
En primer lugar hoy me hackearon de nuevo.
El tema fue que escuchándolos a Uds. (bue, leyéndolos) le pedí al administrador que protegiera el archivo famoso. Me dijo que iba a activar safe_mode (menos mal que algo me había dicho Cluster porque sino moría sin entender un pomo) pero al rato empezaron a quejarse otros clientes porque sus scripts no funcionaban. Entonces lo desactivaron y me cambió los permisos de los archivos de configuracion, dejó todos en 644 menos uno que quedó 666. En el mismo minuto que los terminaba de cambiar volvieron a hackear ese que quedó con permisos 666.
Ahí llegaron a la conclusión que tenía que ser un 'vecino' que tenía acceso shell y se lo sacaron y ahora estamos aquí esperando ver qué pasa.
La verdad ?

Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ? se pueden ver otras cuentas entonces y manipular las carpetas vecinas ?... pregunto esto porque algo entendí de lo que me explicaron de fopen pero... necesito saber la ruta... o no ?... porque la primera vez hackearon todo lo que tenia la palabra 'config' en alguna parte pero ahora el file se llama inuse.php... es como si estuvieron 'viendo' la estructura... o hablo ganzadas ?
Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?
MonicaH no sé si la primera vez había otros archivos dañados porque corrí un restore... hoy no, hoy sólo reemplacé los archivos hackeados con los originales... puede ser que empiece a fallar algo en algún momento, ya les contaré.
Toi agotada
Besos

Última edición por Suyta; 15/07/2006 a las 15:06
  #15 (permalink)  
Antiguo 17/07/2006, 08:12
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
Ya no entiendo nada. Si yo tengo acceso shell no es que tengo acceso sólo a mi cuenta ?
Bueno .. si no sabian que PHP para un trabajo "seguro" se puede activar el "safe mode" .. no creo que sepan ni lo que es una "jaula shell" .. al estilo "FTP" (servidor) cuando creas una cuenta de FTP y le asignas un "root" própio desde donde (hacia abajo) se puede desplazar el usuario).

Un acceso Shell sin "enjaular" permite moverse por toda la estructura de directorios del servidor .. Si a eso le sumas que los permisos de archivos estan a "0777" o alguno tipo "permiso de escritura a todo usuario" .. con más razón pueden editar cualquier archivo del servidor. (Igualmente con un simple vistazo se vé con qué usuario quedó al realizar esa modificación como para capturar quien (que cuenta) lo hizo!!).

Cita:
Ahhh y en los logs no veo nada, veo ips conocidas. Yo analicé el log ese que puedo bajar desde cpanel/raw access logs ... ese es ? o es un log que tengo que bajar ingresando como root ? dónde está ese log ?
No . ese no el log que te interesa ver. En ese log sólo ves los accesos al servidor HTTP y lo que el controla .. no de archivos ni de login's en el sistema (por shell) ni nada por el estilo.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #16 (permalink)  
Antiguo 17/07/2006, 08:35
(Desactivado)
 
Fecha de Ingreso: septiembre-2004
Mensajes: 360
Antigüedad: 13 años, 2 meses
Puntos: 1
Clarísimo Cluster (como siempre).
Muchísimas gracias !!!
Aparentemente fue ese 'vecino' (desde que le sacaron el acceso está tranquila la cosa, veremos) y evidentemente el servidor no está configurado de manera segura.
Hackearon varios sitios (casi todos) y a los que usan Nuke les tocaron la data también.
Cariños.
  #17 (permalink)  
Antiguo 17/07/2006, 08:55
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
Iniciado por Suyta
Clarísimo Cluster (como siempre).
Muchísimas gracias !!!
Aparentemente fue ese 'vecino' (desde que le sacaron el acceso está tranquila la cosa, veremos) y evidentemente el servidor no está configurado de manera segura.
Hackearon varios sitios (casi todos) y a los que usan Nuke les tocaron la data también.
Cariños.
Como "escarmiento" (para tu proveedor) deberías de cambiarte de proveedor, .. así aprenderan a configurar sus servidores en forma -algo- más segura .. por qué realmente la configuración que tienen es como de "andar por casa".

En un servicio de hosting compartido no se puede confiar en nadie!. El aceso Shell .. bajo "jaula" y monitoreado constantemente, PHP en modo "seguro" (sé que eso plantea muchos problemas a programadores PHP sin tanta experiencia .. pues hay muchas cosas que con "safe mode" no se implementan igual ..) pero deberían plantearselo .. al menos una restricción por "open_base_dir" o directivas similares .. En fin .. yo no soy un "experto" en seguridad o configuración de Linux .. pero es lo "mínimo" que cualquier "administrador" de un servidor Linux debería saber.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #18 (permalink)  
Antiguo 18/07/2006, 10:32
 
Fecha de Ingreso: junio-2006
Mensajes: 329
Antigüedad: 11 años, 6 meses
Puntos: 1
Despues de las ayudas de Cluster no es mucho lo que yo pueda aportar, pero...

Nunca dejes tus files en 777, si requieres que tenga permiso de escritura, pos dejalos 077 eso mejora la SEG.

Con tu SHELL corre una opcion que es [ last ], busca el parametro que ahora no recuerdo y el cual te permitira VER que hizo QUIEN.

Lo que dice CLUSTER es una vaina llamada JAILSHELL lo tienes en tu server ?.

Si no, es como dice C. cambiate cuanto antes de empresa, pos les falta bastante. Por eso yo no tomo un dedicado, pos no lo se ADMIN, si supiera, pos parte 1: SEGURIDAD, SEGURIDAD, SEGURIDAD.

Lo 2: No te aficiones a los prefab. Siempre tenes un HUECOTOTOTOTE de SEG en ellos.
  #19 (permalink)  
Antiguo 18/07/2006, 10:48
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Lo malo es cuando el proveedor por -nuestra seguridad- empieza a levantar servicios como: PHsuexec ("safe mode") .. implementa las "jailShell", y sistemas de ese estilo luego llega el "programador" de turno que le falla un "fopen()" y reclama por qué no le funciona su código (sin atender que bajo ese sistema de seguridad algunas técnicas cambian o se hacen más complejas, sobre todo hay que conocer lo que se hace bien ...), ahí el "proveedor" no sabe que hacer: mantiene el cliente y reza que no salga el usuario mal-intencionado de turno a realizar alguna "maldad"? .. o pierde el cliente. Esto es un "negocio" lamentablemente .. a veces se impone la "comodidad" y "no dar problemas" al cliente en lugar de prevalecer la -seguridad-.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #20 (permalink)  
Antiguo 31/08/2006, 15:34
 
Fecha de Ingreso: febrero-2006
Mensajes: 72
Antigüedad: 11 años, 9 meses
Puntos: 2
Hackearon mi web y el servidor.

Hola a todos, hoy han hackeado el servidor donde alojo mi página y el ataque entre otras cosas que dezconozco CAMBIO todas las páginas INDEX (php, html,htm) que habia en el sitio, por la de estos infelices (se ve que no encuentran novia).

Leyendo los post, veo que el consejo es cambiarse de hosting, por eso les quiero preguntar por un buen hosting y solo para entender un poco como es esto, como es posible que hayan cambiado las páginas index: a mano? o con un software? o como.

Lo mismo que se veía en mi página se veía en otros sitios alojadas en el mismo servidor. (no publico el mensaje hacker para no hacerles publicidad).

Saludos.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:52.