Alojamiento compartido hackeado. ¿Debo informarle esto a alguien?

  

¿Hay alguna organización (policía, investigadores de seguridad, etc.) que esté interesada en conocer el ataque, el código utilizado o cualquier solicitud de seguimiento?

El código que publicaste en el otro hilo da la impresión de ser único porque los creadores de malware utilizan un algoritmo para generar una función de ofuscación ligeramente diferente cada vez . Esto evita que aparezca en Google o que el software AV lo reconozca mediante una simple coincidencia de cadena.

Sin embargo, la funcionalidad principal (que es tomar una entrada externa y ejecutarla a través de exec ()) es increíblemente común. Personalmente he encontrado al menos una docena de casos idénticos (y no trabajo en seguridad ni nada de eso) y me imagino que hay cientos de miles de sitios que ejecutan este código en cualquier momento. Es probable que su anfitrión sea apático porque ya han lidiado con 10 instancias diferentes ese día si son un gran anfitrión. Es probable que la aplicación de la ley sea igualmente improbable que esté interesada.

  

posibilidad de que otros servidores bajo su control hayan sido afectados

Los usuarios de alojamiento compartido suelen estar bastante bien aislados unos de otros. Como mencioné, las cuentas de hosting compartido son hackeadas todo el tiempo. La mayoría de las compañías de hosting también ejecutan el software de administración de hosting compartido, por lo que si el aislamiento se rompiera realmente en su sistema, también se rompería para otros hosts y se descubriría rápidamente (aunque quién sabe, algunos hosts pueden ser demasiado perezosos para actualizar su software). ).

  

Sería fácil configurar una secuencia de comandos de reemplazo para "images.php" que registraría cualquier solicitud sin ejecutarlas. Entonces mi pregunta es, ¿hay alguna razón para hacer eso?

Podría ser un poco interesante, pero es una apuesta bastante segura que lo único que obtendrás son los scripts para enviar el spam viagra.

  

La empresa de alojamiento insiste firmemente en que, de ser así, la única explicación posible es que la contraseña de mi amigo se vio comprometida (de alguna manera).

Es posible (y tal vez probable). ¿Qué cliente FTP utiliza? Muchos clientes de FTP ( tos FileZilla tos ) almacenan sus contraseñas en texto sin formato y en una ubicación muy predecible. En otras palabras, es un objetivo perfecto para el malware en su PC.

También es posible que le hayan enviado una página de phishing que se parece a su inicio de sesión de hosting, no sería difícil determinar su compañía de hosting o correo electrónico.

Existe alguna posibilidad de que se haya comprometido a través de una vulnerabilidad en el sitio, pero esto es poco probable si se trata de un sitio de tarjeta de visita simple que acepta poca o ninguna entrada externa.

La conclusión es que hay un incentivo bastante grande para que los creadores de malware pongan en peligro las cuentas de alojamiento. ¡Por lo general, son un blanco bastante fácil y todo el spam en el mundo tiene que ser enviado desde algún lugar!

En términos de limpieza, si solo tienes unos pocos archivos, entonces verifica todos ellos manualmente. De lo contrario, utilice el sello de fecha del archivo, pero a veces es posible modificar esto.

Cada día miles de sitios web son hackeados. En su caso, tal vez se instaló un script proxy o un dropper. Dudo que la aplicación de la ley esté preocupada ya que nadie resultó herido, todavía.

No debes esperar hasta que suceda algo para eliminar ese script. Las autoridades policiales estarán interesadas en usted si su sitio es, por ejemplo, un proxy para un ataque a un sistema gubernamental o si se utiliza para compartir archivos ilegales.

Consigue una nueva contraseña segura. Compruebe otros scripts para los cambios. Dada la indiferencia de su empresa de alojamiento, debería pensar en cambiarse a otra.