¿Cómo puedo agregar un archivo PHP una y otra vez a mi sitio pirateado?

8

Estoy en un plan de alojamiento compartido (lo sé, lo sé) en GoDaddy y todos los archivos que contiene han sido pirateados. Hay varios sitios en el plan, cada uno de ellos tiene una carpeta. Las carpetas y subcarpetas de cada sitio están llenas de archivos pirateados, al igual que las carpetas encima de public_html.

He eliminado toneladas de archivos con código malicioso y siento que he eliminado todo, excepto que hay un archivo xm1rpc.php que aparece de nuevo 10 segundos después de que lo elimine. .htaccess , configuration.php y index.php , todos en la raíz de uno de los sitios, parece que se infectan muy rápido también.

¿Cómo se las arreglan para hacer eso? Busqué crons en el panel de control, cambié las contraseñas (FTP, admin, etc.), ¿qué debo verificar a continuación? Para que sepas, los sitios son Joomla y WordPress.

    
pregunta Victoria Ruiz 03.11.2016 - 20:35
fuente

5 respuestas

2

Es posible que tenga alguna puerta trasera en la base de datos como HTML en línea o Javascript.

Si está seguro de haber eliminado todo de los archivos, consulte la base de datos.

Además, asegúrate de actualizar ambos CMS a las últimas versiones y deshabilitar / eliminar todos los módulos no utilizados en ambos para que no te vuelvan a hackear de la misma manera.

También busque en el acceso del servidor WWW y en los registros de errores si alguien realmente lo está bombardeando.

    
respondido por el user129555 03.11.2016 - 21:08
fuente
2

Primero, revise los registros de acceso de sus sitios para demostrar que no se está volviendo a infectar a través del mismo vector de ataque que lo infectó. Si no ves las solicitudes que llegan cada diez segundos, eso debería ser suficiente por ahora.

Usted dijo que no hay cronjobs sospechosos. ¿Cómo comprobaste esto? ¿Está seguro de que todos los cronjobs aparecen en el panel de control que mencionó, incluso si no se crearon a través del panel de control?

Si realmente no hay ningún trabajo cron, la siguiente causa probable de reinfección es un proceso malicioso que todavía se está ejecutando en el servidor y permanece inactivo durante diez segundos, luego verifica la existencia de los archivos y los vuelve a crear si No hay más.

Si eso es lo que está pasando, entonces también es probable que aún tengas una copia de los archivos maliciosos en el servidor en algún lugar (ya sea eso, o se estén descargando de una fuente remota). No olvide revisar el directorio / tmp para los subdirectorios ocultos. / tmp es un lugar probable para que el malware resida porque normalmente se puede escribir en todo el mundo.

Algunos programas maliciosos utilizan un buen truco en los sistemas Unix para ocultar sus archivos: el proceso en ejecución abre los archivos y luego los desvincula, lo que los hace invisibles al comando como ls y find, pero como están abiertos, están aún allí (hasta que finalice el proceso que los mantiene abiertos). Lo bueno es que, como están abiertos, aparecerán en / proc.

Necesitas encontrar este proceso y matarlo. No sé nada acerca de GoDaddy, ¿tienes acceso a la shell? Si es así, puede usar el comando ps para enumerar los procesos activos que se ejecutan bajo su nombre de usuario.

Sin embargo, todo esto no tiene sentido a menos que encuentre el vector de infección. Verifique primero en sus registros de acceso las URL muy largas que contienen cadenas de aspecto aleatorio. Esto es bastante fácil si sabes cómo usar grep y expresiones regulares. Si encuentra algo que parezca sospechoso, busque la URL en Google; Esto podría proporcionarle una descripción del agujero de seguridad que hizo posible la violación inicial y eso es lo que necesita saber para asegurar su sistema.

    
respondido por el Pascal 03.11.2016 - 21:37
fuente
2

Es bastante difícil de responder solo con la información que das.

Algunos compañeros dijeron que su problema puede ser una vulnerabilidad de la base de datos SQL, pero no lo creo (todavía puedo estar equivocado). Como si ese fuera el caso, no sería necesaria ninguna otra inyección de archivos para obtener acceso a su sistema.

Es bastante correcto que existe la posibilidad de que alguien intente explotar cualquiera de las vulnerabilidades actuales en su página para obtener acceso.

Entonces, lo más que puedo decir es:

  • La causa más probable (supongo) es una vulnerabilidad de RFI (Remote File Inclussion), en las páginas web dinámicas de PHP es bastante común.
  • Joomla como muchos de los motores de CMS (como dijo @ user129555 ) son bastante vulnerables y hay nuevos errores / vulnerabilidades se encuentran tan rápido.
  • Lo MEJOR que puedes hacer es:

    1. Verifique sus archivos web y los permisos (algunos CMS requieren la eliminación de algunos archivos o el cambio de permisos después de la primera configuración de seguridad).
    2. Verifique las posibles vulnerabilidades en Google (o utilice páginas o bases de datos públicas como CVE ).
    3. Use cualquier tipo de motor para encontrar algunas vulnerabilidades (hay toneladas para CMS).
    4. Actualiza todo (Joomla) a las últimas versiones, para corregir la mayoría de las vulnerabilidades.

¡Buena suerte!

    
respondido por el KanekiDev 10.11.2016 - 16:08
fuente
1
  

¿Cómo se puede agregar un archivo una y otra vez a mi sitio?

Explotación de la "falla de escalada de privilegios" en el sistema / programas

Un usuario con una cuenta con pocos privilegios puede obtener el privilegio de root al explotar la falla de Privilege Escalation, el usuario malintencionado (con un acceso de root) tomará el control total sobre la base de datos agregando, eliminando archivos ...

Ejemplo: la nueva vulnerabilidad descubierta en LAMP (Linux-Apache-MySQL-PHP) 01.11.2016 CVE-2016-6664 (MySQL y MariaDB)

  

Descripción

     

Las bases de datos basadas en MySQL que incluyen MySQL, MariaDB y PerconaDB están afectadas   por una vulnerabilidad de escalada de privilegios que puede permitir a los atacantes que tienen   obtuve acceso al usuario del sistema mysql para escalar más sus privilegios   al usuario root permitiéndole comprometer completamente el sistema.   La vulnerabilidad se deriva del manejo inseguro de archivos de registros de errores y   otros archivos.

    
respondido por el GAD3R 03.11.2016 - 22:13
fuente
1

Su xm1rpc.php vino de wordpress. Sigue estos pasos, resolverá tu problema. Vaya directo al punto y siga los pasos a continuación para solucionarlo. Este es un tipo de trabajo de script para niños, no lo compliques más yendo por todos lados

  1. Ve a cada wordpress al que tengas acceso. Descargue este plugin en cada wordpress y utilícelo para escanear y eliminar el malware.
  2. Actualice wordpress a la última versión de cada sitio.
  3. Cambie la contraseña a todos los sitios de wordpress, cpanel y whm (si tiene)

¿Cómo funciona? Su /wp-includes/load.php está infectado. Esto seguirá creando el archivo php malicioso que infectará su .htaccess, .configuration.php e index.php

    
respondido por el Lester T. 15.11.2016 - 15:24
fuente

Lea otras preguntas en las etiquetas