¿Cómo se pudo modificar este archivo?

3

Hace poco me pidieron que ayudara a realizar algunas modificaciones en un sitio web ASP Classic antiguo.

En un momento dado, estaba buscando en la fuente de la página mientras depuraba algo de JavaScript y noté una división llena de enlaces a algunos sitios similares a spam que vendían bolsos y zapatos falsificados, etc. Este div se colocó a más de 900 píxeles en la esquina superior izquierda, por lo que nunca fue visible, y no fue hasta que miré el código fuente que noté que estaba allí en absoluto.

El div en sí estaba en un archivo de encabezado ubicado dentro de una subcarpeta de inclusión. Por lo que puedo decir, al acabar de tomar el sitio, ningún código modifica este archivo en absoluto.

¿Esto significa que el servidor web tuvo que haber sido comprometido para que alguien pueda insertar estos enlaces?

Parece que si ese fuera el caso, ¿quién lo hizo tenía que haber tenido algún conocimiento de cómo funcionaba el sitio? ¿O tal vez solo buscaron archivos llamados 'encabezado'? Aunque, hay un archivo de encabezado separado para el lado de administración del sitio y que no se modificó.

Supongo que la otra posibilidad es que el antiguo webmaster insertó los enlaces por sí mismos para obtener algún beneficio personal, pero parece poco probable.

    
pregunta 01.03.2013 - 04:08
fuente

2 respuestas

1

Estoy de acuerdo en que la causa más probable es un compromiso externo, un caso clásico de agricultura de vínculos.

Puede estar fuera del alcance de su contrato, pero después de arreglar el sitio de producción, debe volver a revisar las copias de seguridad hasta que pueda encontrar la modificación y luego ver si puede averiguar cómo ocurrió el compromiso.

Si no puede estar seguro de cómo ocurrió, considere reconstruir el servidor a partir de buenas fuentes conocidas, que es la única forma razonablemente confiable de cerrar cualquier puerta trasera que los intrusos puedan haber dejado.

    
respondido por el scuzzy-delta 01.03.2013 - 04:57
fuente
2

Este tipo de ataque donde se insertan enlaces de spam en el contenido de la página generalmente se dirigirá a una tecnología particular, ya sea la plataforma del sitio, por ejemplo. Wordpress o un complemento utilizado en el sitio, por ejemplo, una galería de imágenes o un script de carga de archivos. Al atacar una vulnerabilidad específica en un script ampliamente utilizado, un atacante puede comprometer suficientes sitios web para que el ataque valga la pena.

Reconstruir el sitio a partir de una copia de seguridad limpia conocida es la única forma en que puede estar realmente seguro de haber reparado todos los daños. Luego, deberá identificar cómo se comprometió el sitio en primer lugar, de lo contrario, es casi seguro que vuelva a suceder. El culpable más probable será los scripts que permiten a los usuarios cargar archivos como si pudieran explotarse para permitir que un script malicioso se cargue y se ejecute.

Otra posibilidad, si el sitio web se ha alojado en un servidor con uno o más sitios, es que uno de esos sitios se haya visto comprometido y que haya dado acceso al servidor y, por lo tanto, a su sitio. Alojar el sitio con una compañía de alojamiento compartido no necesariamente lo protegerá de ese vector. Incluso algunas de las empresas de alojamiento compartido realmente grandes pueden ser bastante descuidadas cuando se trata de proteger su sitio de otras alojadas en el mismo servidor.

    
respondido por el James Thompson 06.03.2013 - 13:13
fuente

Lea otras preguntas en las etiquetas