PHP en IIS 7.5 hackeado: ¿Cómo puedo encontrar y reparar la inyección XSS?

Navega tus respuestas
2

Descubrí que alguien había obtenido acceso a través del software del servidor FileZilla a mi Windows 2012 Server. Parece que habían creado cuentas adicionales y estaban intentando intentos de fuerza bruta para entrar casi constantemente.

En cualquier caso, cualquier página PHP que se ejecute en cualquiera de mis sitios en este servidor ha tenido un iframe con un enlace a un archivo exe malicioso de una IP china como fuente. Apagué el servidor FTP y pude implementar X-Frame-Option: DENY en IIS para evitar que el archivo intente descargarse. Sin embargo, ahora estoy intentando jugar al detective y encontrar dónde está este código malicioso.

Intenté buscar en IIS, pero creo que debe ser específico de PHP. Busqué en los archivos php.ini las referencias a esta dirección IP, pero no pude encontrar nada.

Si alguien pudiera recomendar formas de encontrar y limpiar el código iframe malicioso, se lo agradecería. He instalado PHP 5.3 y 5.4 desde el instalador de la plataforma web.

Gracias.

    
pregunta jethomas 14.12.2013 - 01:17
fuente

2 respuestas

5

  1. Esto no es XSS. Te hackearon.

  2. Desea verificar la configuración de auto_prepend_file y auto_append_file. Esto puede estar en su php.ini o en archivos .htaccess.

  3. Si el atacante tuviera acceso al sistema hasta el punto en que pudiera ejecutar un código PHP arbitrario, podría haber hecho muchas cosas peores. Averigüe cómo entró el atacante si puede, pero luego, debe sacar todos los datos de la máquina y limpiar y reinstalar toda la máquina desde medios confiables. Considere cualquier clave privada (por ejemplo, de certificados SSL), contraseñas, etc. que estén almacenadas en la máquina comprometida (es decir, cambie las contraseñas, revoque y reemplace los certificados).

  4. Considere la posibilidad de que el atacante haya escondido una puerta trasera en algún lugar de su código PHP. En cualquier lugar. Esto es bastante probable. Si desea copiar cualquiera de su código a la máquina reinstalada, necesita auditar todo (por ejemplo, comparándolo con una copia limpia conocida: preste atención a los archivos adicionales) o simplemente muévalo y vuelva a instalarlo desde una fuente limpia. También revise su base de datos de Wordpress / otra CMS para configuraciones que podrían permitir puertas traseras.

respondido por el Jan Schejbal 14.12.2013 - 08:11
fuente
0

No es fácil encontrar un agujero de seguridad si tiene muchos códigos de propiedad. Pero lo más probable es que los atacantes utilicen vulnerabilidades conocidas en WordPress o en cualquier software / marco que esté usando. Asegúrese de que su software está ejecutando las últimas versiones. También actualice su base de datos, servidor web y versiones php.

Además, podrías intentar ejecutar un proxy de ataque para encontrar la vulnerabilidad. p.ej. Eche un vistazo al ZED Attack Proxy de OWASP: enlace

    
respondido por el Tobias 15.12.2013 - 15:16
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna forma de explotar los parámetros GET POST no utilizados en la aplicación web? ¿Cómo podría alguien crear una cuenta de Facebook con mi dirección de correo electrónico sin robarla?