La página de índice se ha visto comprometida, aparecen archivos sospechosos

Navega tus respuestas
13

Mi sitio web ha sido hackeado últimamente y ha sido borrado. Ahora tengo archivos raros, no sé de dónde vienen. Solo quiero saber, ¿cuál de estos archivos es dañino o puede hacer que me vuelvan a hackear?

El .htaccess contiene el siguiente código: 

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from 121.54.58.159

El archivo .wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d3b.php contiene el siguiente código: 

// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);

?>
    
pregunta winona 13.12.2011 - 06:58
fuente

6 respuestas

17

¿Qué es eso?

El archivo PHP es una puerta trasera XSS . Le permite al atacante proporcionar cualquier HTML con JavaScript en el contexto de su sitio. Esto le permite acceder a las cookies establecidas por su sitio.

Un atacante engañará a una víctima para que realice una solicitud POST a ese archivo con el código malicioso en la variable wproPreviewHTML. Si ese usuario tiene permisos especiales en su lado e. sol. Debido a que ha iniciado sesión, el atacante podrá hacer cualquier cosa que el uso pueda hacer.

El error prohibido también puede ser sospechoso. Algunos programas maliciosos intentan ocultarse en el documento de error . Como los documentos de error suelen estar fuera de la carpeta raíz del documento para las páginas web normales, hay muchas posibilidades de que estas modificaciones pasen inadvertidas.

¿Qué hacer ahora?

Debe configurar su servidor desde cero , ya que no puede conocer el impacto total de la manipulación. Es probable que haya una puerta trasera oculta en alguna parte. No copie ningún archivo de programa (incluidos los scripts y los archivos php) del servidor comprometido al nuevo.

Además, hay algunos programas maliciosos para computadoras de escritorio, que manipulan los archivos php durante la carga a través de FTP o SFTP.

    
respondido por el Hendrik Brummermann 13.12.2011 - 08:09
fuente
6

¿El sitio web ha sido hackeado? Siga esta lista de verificación:

  • Elimine TODOS los archivos del servidor y restaure desde una copia de seguridad "buena". Si no existe tal copia de seguridad, vuelva a instalar desde el origen e importe solo sus datos , no ninguno de los archivos del programa (por ejemplo, PHP).

  • Cambia todas tus contraseñas. Incluyendo:

    • Contraseña de FTP

    • Contraseñas de la base de datos

    • contraseñas de administrador del sitio.

  • Deshabilite los complementos, módulos, etc. innecesarios

  • Elimine cualquier software no utilizado (por ejemplo, el blog que nunca usa o la herramienta de administración de base de datos que usó solo una vez)

  • Actualice todo el software web que use (por ejemplo, Joomla, wordpress, etc.), así como los complementos y módulos restantes a la versión más reciente.

  • Actualice los componentes del software de su sistema a la última versión. (por ejemplo, apt-get update && apt-get upgrade o yum update )

  • Habilitando la actualización automática cuando sea posible.

respondido por el tylerl 13.12.2011 - 10:24
fuente
5

Considere seriamente usar controles del sistema operativo para proporcionar una capa adicional de control y auditoría sobre su servidor web.

También tómese el tiempo para leer todas las respuestas a esa pregunta.

    
respondido por el Jeff Ferland 13.12.2011 - 15:32
fuente
4

Este archivo .wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d3b.php No es una puerta trasera para preocuparse. Es creado por el administrador de archivos cpanel siempre que use el editor HTML integrado en el administrador de archivos de cpanel.

Los archivos deben eliminarse, aunque el editor los deje.

    
respondido por el Chris Davis 03.01.2012 - 04:07
fuente
2

Como respondió Chris Davis, el archivo PHP no es una puerta trasera maliciosa; es creado por el editor WYSIWYG del administrador de archivos cPanel y es extremadamente improbable que el archivo tenga algo que ver con el sitio que se está borrando.

Esto no es tan inseguro como se ve en la publicación original. El nombre del archivo es una cadena aleatoria larga y se debe pasar otra cadena aleatoria larga para hacer cualquier cosa. Esa cadena se actualiza cada vez que el editor guarda. El resto del archivo se ve así: 

<?php
if ($_GET['randomId'] != "AYEPENANR_zMBVyKHKQAYv6UF6nPMY5xV6iFIvaOQTTw0lLpE1O2SH0ZzoSfvUuY") {
    echo "Access Denied";
    exit();
}

// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);

?>
    
respondido por el Billy 10.05.2012 - 01:56
fuente
-1

No es definitivamente malware.

Al menos, no en el sentido en que está pensado por razones maliciosas ...

En el caso de que esté utilizando cpanel y haya usado su IP Deny Manager para bloquear el acceso a 121.54.58.159, entonces esto se escribirá automáticamente en su archivo .htaccess con el propósito de bloquear esa IP (y cualquier otra que desee ingresar): 

<Files 403.shtml>
order allow, deny
allow from all
</Files>

deny from 121.54.58.159

¿Utilizas cpanel y, si es así, recuerdas haberlo hecho?

    
respondido por el Magpie 16.12.2014 - 17:47
fuente

Lea otras preguntas en las etiquetas

¿Los sistemas operativos móviles proporcionan aleatoriedad de calidad criptográfica? ¿Caracteres conocidos en las contraseñas?