Cómo prevenir la carga de archivos maliciosos a un sitio

Navega tus respuestas
3

Recientemente, un par de sitios que habíamos construido se han utilizado para enviar una tonelada de correos electrónicos no deseados. No somos expertos en seguridad, pero con algunas investigaciones creemos que puede ser algún tipo de Inyección de PHP. Conseguimos eliminar los archivos infectados de los sitios y hemos implementado software adicional para administrar mejor la seguridad. Sin embargo, aún se intentan los ataques y no estamos seguros de qué archivo es vulnerable.

Tenemos el siguiente informe de uno de nuestros complementos (es un sitio de WordPress), que muestra múltiples intentos de atravesar el directorio y cargar archivos maliciosos. Nuestra preocupación es que, sin este complemento, el culpable hubiera tenido un acceso fácil para llevar a cabo dichos ataques, pero ¿el análisis muestra directorios que no existen?

Supongo que mi pregunta es la siguiente: ¿qué es lo que está haciendo el atacante (en términos del pirateo) y por qué muestra directorios que no existen? El objetivo final es volver a factorizar el código para eliminar la explotación del aparente, cuando sepamos qué archivo es ...

Le pido disculpas si esta es una mala pregunta o está en la sección incorrecta. Soy nuevo en Stack Exchange pero necesito desesperadamente algo de experiencia en seguridad.

    
pregunta JNH1994 11.08.2016 - 10:56
fuente

2 respuestas

2
  

Tenemos el siguiente informe de uno de nuestros complementos (es un sitio de WordPress), que muestra múltiples intentos de atravesar el directorio y cargar archivos maliciosos. Nuestra preocupación es que, sin este complemento, el culpable hubiera tenido un acceso fácil para llevar a cabo dichos ataques, pero ¿el análisis muestra directorios que no existen?

Porque el complemento no dice, y realmente no puede decir, si el ataque fue exitoso. Sólo se puede decir que se llevó a cabo.

Parecen exploraciones automatizadas de vulnerabilidades conocidas. La prueba de recorrido de ruta, por ejemplo, es para una vulnerabilidad en wp-ecommerce-shop-styling v2.5 .

Si está preocupado por los ataques, puede hacer un seguimiento de los informes. Verifique si tiene instalados los complementos con nombre, y si es así, si existen vulnerabilidades públicamente conocidas para la versión que tiene. También puede visitar el enlace y verificar si el ataque tiene éxito (pero primero verifique qué hace realmente el enlace; por ejemplo, no desea activar accidentalmente un ataque XSS). Sin embargo, tenga en cuenta que la mayoría de los ataques exitosos pueden eliminar registros, por lo que el hecho de que no encuentre un ataque exitoso no significa necesariamente que no hubo ninguno.

    
respondido por el tim 11.08.2016 - 18:27
fuente
0

Si estás ejecutando wordpress, instantáneamente eres un objetivo para los gusanos y otros hackers. ¿Porque preguntas? Porque wordpress es un objetivo muy atractivo; Muchos de los complementos que se usan comúnmente son vulnerables. Además, la razón por la que ve que no existen directorios aleatorios que intentan ser pirateados es porque las secuencias de comandos de escaneo masivo solo comprueban si su sitio está ejecutando wordpress y luego recorren un montón de secuencias de comandos populares aleatorias con la esperanza de poseer su sitio.

Sin embargo, si uno es verdaderamente persistente, pueden enumerar FÁCILMENTE todos los complementos actualmente instalados y los nombres de usuario de administrador (wp-login) que pueden usarse para forzar la fuerza bruta de su panel de inicio de sesión o iniciar un ataque más específico y específico.

Si desea escanear los complementos de wordpress de su sitio para ver si son vulnerables en la base de datos más reciente de complementos de wordpress vulnerables, podría usar una herramienta llamada wpscan.

    
respondido por el Edward Hawkinz 10.12.2016 - 00:51
fuente

Lea otras preguntas en las etiquetas

¿Es una herramienta dedicada a acceder a flujos rtsp a través de IP? ¿Qué hace que VoIP sea más vulnerable que una línea telefónica "normal"?