alguien está inyectando malware en mi sitio web

Question

alguien está inyectando malware en mi sitio web

#1 de Steffen Ullrich (4 votos)

3

Mi sitio web fue pirateado el año pasado y alguien había subido una secuencia de comandos que estaba acaparando todo el CPU y el promedio de carga subió a 30+ hasta que nuestro proveedor de alojamiento suspendió temporalmente la cuenta, eso fue unos días después de instalar WordPress (no lo hice t know PHP es tan vulnerable a la piratería). Tuve que deshabilitar muchas opciones en php.ini y después de eso no hubo problemas con mi sitio durante más de 300 días.

Pero desde las últimas semanas, alguien está tratando nuevamente de difamar al sitio. Él está constantemente subiendo malware a mi sitio. Pero la peor parte es que el malware no siempre está ahí, solo lo detecta Google Webmaster una vez en pocos días. Eliminé WordPress, ahora todo es HTML estático (ya que creo que PHP no es tan seguro) y aún así el pirata informático puede inyectar malware una vez en unos pocos días solo durante unas pocas horas.

Google Webmaster bloquea una página y no se toca ninguna otra página. Cambié todos mis archivos HTML y CGI a un permiso diferente. Apache no puede escribir en ninguna de las carpetas ahora, eliminó todos los scripts de PHP la semana pasada y pensé que eso debería proteger mi sitio web de futuros ataques.

Pero esta mañana, cuando visité el webmaster de Google, ¡me sorprendió ver una advertencia de que mi sitio web tiene malware! Y eso también en un archivo "apk" esta vez.

Pregunta :

Así que mi pregunta es, ¡cómo alguien puede cargar un malware que se descarga automáticamente cuando se accede a un APK! ¡Incluso cuando no hay permiso para que escriba en ese directorio!

He estado programando durante los últimos 10 años y esto me supera. Nada en los registros de Apache, nada en ninguna carpeta. La búsqueda de modificación de archivos también muestra que no se toca nada desde los últimos 10 días y, sin embargo, el pirata informático logra permitir que se descargue un malware junto con mi apk y eso también solo durante unas pocas horas (¿Así que pone algo allí y vuelve para eliminarlo? )

Y mi sitio web ni siquiera es tan popular, no sé por qué el pirata informático está perdiendo su tiempo y el mío por ser tan agresivo, pero parece muy motivado ya que lo está haciendo constantemente desde los últimos 2 meses.

malware

pregunta Srihari Karanth 30.09.2015 - 07:13

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware

¿Qué problema corrige PKI; ¿Cómo mentiría alguien sobre su identidad? [duplicar] Ataques de encabezado de host IIS

score 4 · Accepted Answer

¡
cómo alguien puede cargar un malware que se descarga automáticamente cuando se accede a un APK! ¡Incluso cuando no hay permiso para que escriba en ese directorio!

Es posible que los archivos no se sirvan desde el directorio que usted cree, pero podría estar oculto en otro lugar. Esto se puede hacer cambiando la configuración de apache o algunos otros archivos en el sistema o inyectando código en el propio proceso de apache. Para obtener más detalles lea acerca de Darkleech o binarios de caché con puertas traseras o ataques recientes contra sitios de wordpress .

Y mi sitio web ni siquiera es tan popular, no sé por qué el pirata informático está perdiendo su tiempo y el mío por ser tan agresivo, pero parece muy motivado ya que lo está haciendo constantemente desde los últimos 2 meses.

Los atacantes siempre están buscando sitios que no estén en la lista negra de las soluciones anti-malware. No importa qué tan populares sean, ya que generalmente son solo un paso dentro de una campaña de phishing o malvertising, es decir, el usuario es dirigido allí por el atacante.

Apache no puede escribir en ninguna de las carpetas ahora, eliminó todos los scripts PHP la semana pasada y pensé que eso debería proteger mi sitio web de futuros ataques.

Le sugiero que reinstale todo el sistema y se asegure de que los vectores de ataque habituales estén cerrados (es decir, contraseñas débiles, instalaciones de wordpress inseguras, etc.). Parece que el atacante ha comprometido tu sistema más profundamente de lo que piensas.