Hackeo de mi website - borrado de index.php

eldanas · #1 (**permalink**) 18/09/2010, 09:48

Hackeo de mi website - borrado de index.php

Hola.
Recientemente me han hackeado mi sitio web.
Lo que ha pasado es que me han borrado los index.php de todo mi hosting, de varios directorios diferentes.

El problema creo que ha sido a través de un index.php que estaba programando, que tenia un formulario de acceso con usuario y contraseña, que verificaba contrastando una tabla de usuarios en mysql, y luego si el usuario y contraseña estaban ok, lo redirigia a otro fichero php (y ahi se acabo, ya que estaba en pleno proceso de programacion)

La verdad que no entiendo, como han podido acceder desde ahi a todo my sitio web a diferentes carpetas y borrarme los index.php !!!

No ha sido mucho trastorno, puesto que todas las semanas hago un backup de todo mi sitio al completo, pero al tener un monton de index.php, los he tenido que restaurar a mano y me ha llevado una gran perdida de tiempo.

Mi pregunta es ... como coño han conseguido borrar todos los index.php de mi hosting ???
Solo con un formulario de acceso que no tengo protegido contra injection ???
Como puedo protegerme por si pasa de nuevo ?
Denunciarias el caso a la guardia civil ???

El caso es que el hijodep.. me ha dejado varis index con esto:

Código:

<HTML><HEAD><TITLE>iskorpitx</TITLE>
&nbsp;</p>
&nbsp;<META http-equiv=Content-Type content="text/html; charset=windows-1252"><META content="Microsoft FrontPage 6.0" name=GENERATOR></HEAD><BODY text=#999999 bgColor=#000000 leftMargin=0 topMargin=0><STYLE type=text/css>A:link {
	COLOR: #999999; TEXT-DECORATION: none
}
A:visited {
	COLOR: #00ff00; TEXT-DECORATION: none
}
A:active {
	COLOR: #004500; TEXT-DECORATION: none
}
A:hover {
	COLOR: white; TEXT-DECORATION: none
}
</STYLE><STYLE fprolloverstyle>A:hover {
	COLOR: #ffffff
}
</STYLE><STYLE>BODY {
	SCROLLBAR-ARROW-COLOR: #000000; SCROLLBAR-BASE-COLOR: black
}
</STYLE><td width="16%" bgcolor="#000000"></td><P align=center>
<img src="http://www.mavi1.org/atam.gif"></P>
<P align=center>
<P align=center><B><FONT size=7>&nbsp;</FONT><FONT size=6>BY iSKORPiTX</FONT></B></P>
<P align=center><font size="5"><b>(TURKISH HACKER)</b></font></P>
<P align=center><b>ALEMiN KRALI</b></P>
<P align=center>&nbsp;</P>
<P align=center><FONT size=5>best regards to all world</FONT></P>
<P align=center>&nbsp;</P></BODY></HTML>
<a href="http://www.mavi1.org" title="canakkale">canakkale</a>

A ver si me podeis echar un cable.

Gracias.

danielSu · #2 (**permalink**) 18/09/2010, 13:29

Hola, muy bien por estar haciendo constantemente backup de tu sitio, este tipo de ataques, por lo general aprovechar alguna vulnerabilidad de programación, para realizar ataques RFI o LFI, incorporando script como c99shell y otros similares y apoderándose de tu server.

Sería bueno que por un lado revises los log del servidor web que calculo que será apache, ahy vas a ver todas las consultas que hicieron, fecha e IP por otro lado seria bueno que descargues todo el sitio hackeado y le hagasn un análisis forence y ver que agregaron y que eliminaron, donde y cuando asi corriges esos errores de programación

eldanas · #3 (**permalink**) 18/09/2010, 14:47

Cita:

Iniciado por danielSu

Hola, muy bien por estar haciendo constantemente backup de tu sitio, este tipo de ataques, por lo general aprovechar alguna vulnerabilidad de programación, para realizar ataques RFI o LFI, incorporando script como c99shell y otros similares y apoderándose de tu server.

Sería bueno que por un lado revises los log del servidor web que calculo que será apache, ahy vas a ver todas las consultas que hicieron, fecha e IP por otro lado seria bueno que descargues todo el sitio hackeado y le hagasn un análisis forence y ver que agregaron y que eliminaron, donde y cuando asi corriges esos errores de programación

Pero, tan grave puede ser la vulneravilidad como para influir en todo un sitio web ??

Mi servidor es un servidor donde hay mas webs de otros clientes, puesto que es de un hosting de USA.
Si me han atacado a mi, es posible que hayan atacado a todo el servidor ?
Yo a los logs no tengo acceso puesto que no soy el root.

Algo podré hacer al respecto ?

Ainsss Ainssss !!!

danielSu · #4 (**permalink**) 19/09/2010, 12:57

Es posible tu el servidor tenga un modelo de seguridad en donde pueda implementar independencia entre cada una de las paginas webs, por otro lado debería de ponerte en contacto y solicitar toda la información necesaria para evitar estos ataques nuevamente y por que no solicitar ayuda a la misma empresa.

Con respecto a la vulnerabilidad, efectivamente es tan grave como para influir al sitio web y comprometerlo completamente.

Es por ello que es indispensable que puedas conocer cuál fue el fallo y corregirlo cuanto antes

eldanas · #5 (**permalink**) 19/09/2010, 13:16

Muchas gracias por la respuesta.

Pero, la pregunta es simple ... como puedo saber de donde ha venido el ataque sin tener acceso a los logs ?
Porque tengo alojadas como 4 dominios con sus webs y me ha afectado a todo.

Ya he comentado con mi empresa de hosting que busquen ellos en los logs y que me digan de donde ha podido venir la cosa, pero no se si me van a decir algo y si pudiese yo mirar por algun lado !!

Un Saludo y gracias de nuevo.