El alojamiento compartido es hackeado [duplicado]

Navega tus respuestas
1

Mi alojamiento compartido con GoDaddy fue pirateado al inyectar un archivo PHP (deade6.php) que se recrea cada vez que lo elimino. También intenté modificar el archivo .htaccess pero se vuelve a crear de la siguiente manera: 

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_USER_AGENT} google [OR]

RewriteCond %{HTTP_REFERER} google

RewriteCond %{REQUEST_URI} !

(\.js|\.css|\.png|\.jpg|\.jpeg|\.gif|\.svg|\.ttf|\.woff|\.eot)

RewriteRule ^.*$ deade6.php [L]

</IfModule>

También encontré un archivo PHP sospechoso con base64_decode y los eliminé.
Pero nada funciona. ¿Alguna idea de cómo eliminarlo?

    
pregunta Peter1122 05.01.2017 - 13:23
fuente

2 respuestas

0

Los archivos htaccess posiblemente son regenerados por el servidor web cuando la solicitud se realiza en un punto de entrada específico. Este debe ser un archivo de uso común, como index.php .

Encuentre y elimine el código relevante de los archivos de la aplicación web. Si tienes acceso de shell, 

grep -rnw '/var/www/whatever/path-to-your-webroot' -e "deade6"

También vale la pena echarle un vistazo a /var/log/apache2/error.log y /var/log/apache2/access.log (o encontrar un menú de registro equivalente en su proveedor de alojamiento).

Además, si nada funciona, en el último caso, aún puede instalar nginx, que ignora .htaccess , por lo que las páginas no obtienen el php malicioso mientras puede trabajar para solucionar el problema.

    
respondido por el Rápli András 05.01.2017 - 13:39
fuente
0

¡Encontrar el virus y eliminarlos no sirve de nada hasta que descubres la forma en que el virus venía y los bloquea!

Ok, has encontrado algún archivo especial, pero ¿cómo apareció este archivo?

Es posible que tengas que actualizar tu sitio web interactivo antes que nada. Compruebe la lista de cambios para obtener información sobre fallas de seguridad. ¡Asegúrate de que encuentres la forma en que estaba entrando el atacante!

La mejor manera de garantizar que todo esté limpio es reconstruir toda la instalación con fuentes limpias y motores actualizados.

  1. Guarda tus datos (base de datos y archivos personales)
  2. Asegurarse de encontrar el camino estaba viniendo
    1. verifique los registros del servidor (use la marca de tiempo, la hora de modificación del archivo pero también de su directorio)
    2. use tcpdump para rastrear todos los diálogos de la red, en particular antes de instalar el archivo sospechoso. (Para esto, he usado: tcpdump -i eth0 -s 0 -C 100 -w tcpdump ..)
  3. Revise sus datos en busca de entradas sospechosas o archivos modificados
  4. Reconstruya su servidor desde cero (no sé cómo funciona GoDaddy, pero debe poder reconstruir o vaciar su espacio)
  5. Vuelva a instalar sus datos
respondido por el F. Hauri 05.01.2017 - 13:58
fuente

Lea otras preguntas en las etiquetas

¿Es la fuerza bruta la única forma de descifrar WPA? Intentando localizar una transferencia de fotos que se realizó en mi macbook