Así que nuestro sitio web fue pirateado, y estas son las cosas que se hicieron:
-
Se han cambiado algunas entradas en la base de datos. No sé si esto fue a través de inyección de SQL o acceso directo a la base de datos (solo se permite a la raíz realizar cambios en la base de datos, ¿es posible emular la raíz u obtener su contraseña?) Oa través del CMS del sitio web. Supongo que fue a través del CMS.
-
El código de la página de índice se cambió a una declaración dramática de éxito de piratería por parte del pirata informático.
Acabo de recibir una exploración gratuita de Qualys ( enlace ) que dice que SSL Server Allows Anonymous Authentication Vulnerability
. Esto probablemente sea cierto porque cada vez que inicio sesión en FTP, me dice que algún certificado no es válido, pero siempre lo ignoro y presiono "Continuar". Estoy usando una cuenta de VPS (no compartida) en el servidor de mi empresa de alojamiento.
¿Cuáles son las primeras cosas que debería buscar para solucionar?
Editar # 1
Acabo de encontrar algunos archivos extraños agregados al servidor, incluido un "wso.php" que parecía estar accediendo a las cookies y otras cosas con las contraseñas del sistema.
Luego, en la carpeta public_html encontré una nueva carpeta que no había visto antes, llamada sym
, y cuando la abrí, he aquí que tenía una carpeta llamada root
que era básicamente un clon recursivo de toda mi carpeta raíz y, junto a él, un .htaccess que decía lo siguiente:
Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None
Satisfy Any
Tengo algunas preguntas -
- ¿Eso da más pistas sobre qué tipo de ataque fue este?
- ¿Son estos "malos" contenidos .htaccess?
- Uno de los archivos era boy.php.jpg. Dado que uno de los formularios del sitio permite a los usuarios cargar imágenes, almacena sus rutas de archivos y luego a través de un CMS respaldado por DB accede a esas imágenes cargadas, podría haber sido una inyección de SQL donde se cargó un archivo malicioso disfrazado de imagen y luego ¿Se accede como contenido regular de la página?
Mi compañía está molesta por el truco, pero debo admitir que estoy un poco entusiasmada con este misterio. (un novato total en seguridad como probablemente puedas decir)
Editar # 2
Otra actualización más. Descubrí esta página: enlace
¿Qué es esto y alguna idea de cómo funciona? Mi sitio web es uno de los que figuran en la lista, ¿quizás el shell se haya "cargado" como un archivo jpg?
Editar # 3
Por alguna razón, no se me ocurrió mencionar esto antes, pero mi base de datos MySQL ha sido pirateada: cuando navego en las tablas a través de phpMyAdmin, algunas de las columnas de ID de algunas tablas están llenas de líneas como cat /etc/pwd
y %código%. ¿Significa esto que el punto de entrada fue definitivamente una inyección SQL?