Seguridad eval(base...

desendoll · #1 (**permalink**) 11/05/2010, 03:09

Me aparece en mi indice una linea con eval(base64... y esta función lo que realiza es poner código malicioso en mi pagina.

Lo limpio todo, modifico usuarios desactivo todo los posibles problemas de seguridad (administración, envió formularios...) y mañana me vuelve a aparecer modificado el Indice.

Puede haber un virus en el servidor o es problemas de un "ataque" en el PHP?

Heli0s · #2 (**permalink**) 11/05/2010, 03:13

Yo creo que lo más probable es que sea un ataque a tu página web en concreto, no al servidor, aunque todo podría ser, yo crearía una especie de log, que en cada página guarde la url que es enviada, la ip, si es un usuario registrado, todo lo que pueda ayudar a verificar que está pasando.

Un saludo

zerpico_01 · #3 (**permalink**) 11/05/2010, 06:39

elimina los formularios y ademas mira el log luego mira los ip y bloquea los que creas que son sospechosos, pero tambien elimina las imagenes

o bajalas y analizalas a ver si tienen shell...

por algun lado entra el tio o llama a tu host... habria que mirar o analizar todo... tambien puede ser que simplemente ingrese por la barra del navegar deberias colocar un archivo httaccess con la siguiente linea de codigo :

Código PHP:

  RewriteEngine On
Options +FollowSymLinks

RewriteCond &#37;{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
RewriteRule .* - [F]

Esto evitará montones de ataques de inyección html o inyección sql, evitará que incluyan código encriptado en tu sitio via html y que utilicen cookies para acceder a tu sitio maliciosamente.

tambien coloca esto:

Código PHP:

  RewriteEngine On

RewriteCond    %{QUERY_STRING}        ^.*(<|>||"|\.\.\/|%00|%0A|%0D|%3E|%3C|%27).*            [NC]
RewriteRule . http://www.google.com [L]

cualquier intento de hack sera enviado a google

pero no te quedes solo con esto, analiza tu codigo ya que es mas fiable hacer un codigo que genere errores y almacene los errores en algun log para saber quee sta sucediendo, ademas puedes autobloquear ip cuando se llegue a un determinado numero de errores, o tambien autobloquear a un ip cuando ingrese un codigo malicioso en la barra del navegador, pero esto ya sera mas complicado ya que debes tomar el IP real del tio por mas que este detras de un proxy ....

pero antes de implementar esto mria que todos tus carpetas y archivos no tengan permisos de escritura 777

en fin el tema es amplio .....
seria mas facil ayudarte si das la urls de tu pagina y si pegas el codigo que aparece para saber de que se trata...
saludos!!!