Comentarios en: Tu sitio web está seguro? http://www.gastonmarrero.com/2009/08/tu-sitio-web-esta-seguro/ Mon, 13 Sep 2010 13:58:51 +0000 hourly 1 http://wordpress.org/?v=3.1 Por: Gastón Marrero http://www.gastonmarrero.com/2009/08/tu-sitio-web-esta-seguro/comment-page-1/#comment-582 Gastón Marrero Mon, 13 Sep 2010 13:58:51 +0000 http://www.gastonmarrero.com/?p=137#comment-582 Hola Carlos, bienvenido al blog! Excelente aporte, lo tendré en cuenta para próximas "limpiezas" :) Saludos, Gastón Hola Carlos, bienvenido al blog!
Excelente aporte, lo tendré en cuenta para próximas “limpiezas” :)
Saludos, Gastón

]]> Por: Carlos Devia http://www.gastonmarrero.com/2009/08/tu-sitio-web-esta-seguro/comment-page-1/#comment-431 Carlos Devia Wed, 28 Jul 2010 00:18:49 +0000 http://www.gastonmarrero.com/?p=137#comment-431 Precisamente estaba por postear sobre este virus, en mi caso los tamaños de los archivos difieren pero algunas partes de los mismos no, asi que con las siguientes funciones los elimine satisfactoriamente desde la shell. rm -f $(find . -name "*.php" -exec grep -il 'eval(\$o);' {} \;) rm -f $(find . -name ".htaccess" -exec grep -il 'Options -MultiViews' {} \;) Saludos -- Carlos Devia http://www.imaginacolombia.com Precisamente estaba por postear sobre este virus, en mi caso los tamaños de los archivos difieren pero algunas partes de los mismos no, asi que con las siguientes funciones los elimine satisfactoriamente desde la shell.

rm -f $(find . -name “*.php” -exec grep -il ‘eval(\$o);’ {} \;)
rm -f $(find . -name “.htaccess” -exec grep -il ‘Options -MultiViews’ {} \;)

Saludos


Carlos Devia
http://www.imaginacolombia.com

]]> Por: Gastón Marrero http://www.gastonmarrero.com/2009/08/tu-sitio-web-esta-seguro/comment-page-1/#comment-9 Gastón Marrero Thu, 06 Aug 2009 12:54:16 +0000 http://www.gastonmarrero.com/?p=137#comment-9 Hola Marcos! Hace un par de años que no nos vemos. Por lo que estuve vichando, el funcionamiento del virus es el siguiente: 1) Detecta un directorio con permisos de escritura. Esto es sencillo, ya que teniendo acceso a la página principal, se puede desarrollar facilmente un script que navegue por todo tu sitio (público) armando el arbol de directorios. Luego, una vez que tiene toda la jerarquía, alcanza con hacer un PUT por HTTP para tratar de escribir un archivo (así como está GET y POST, también estan PUT y DELETE). 2) Cuando puede escribir en un directorio, estás frito! ya que inserta una página PHP y la ejecuta. Dicha página se ejecuta con <strong>tus permisos</strong>, y, por ejemplo, ejecuta un código que recorra todo tu directorio (no el público, sino que el privado) para recolectar información, seguir poniendo otros scripts, etc. El problema con esto, es que algunos sistemas (p.e. CMS) necesitan que ciertos directorios publicos tengan permisos de escritura, ya que por ejemplo implementan algún mecanismo de cache. Ahora bien, según encuentro en <a href="http://wiki.linuxquestions.org/wiki/Securing_Apache" rel="nofollow">http://wiki.linuxquestions.org/wiki/Securing_Apache</a>, se podría agregar en el archivo .htaccess del sitio el siguiente código para limitar el acceso PUT/DELETE: <blockquote> <Directory /usr/apache/www>     ...bunch of useful stuff     <Limit PUT DELETE>         Require user sweeble2plope3guzza9     </Limit> </Directory> </blockquote> En cuanto a que el servidor tenga protección para estos scripts, es cuestionable, ya que podría estar infringiendo alguna ley de violación de propiedad privada o algo por el estilo... ya que se estarían metiendo con código de tu propiedad (es mas o menos como que el dueño de la casa que alquilas se meta a tu casa para ver que estás haciendo). Lo que si podrían hacer, es bloquear el acceso de salida (por HTTP) hacia los servidores del virus (phpfeed.ru). Otro detalle, e independiente de este virus, es que al contar con esta falta de protección, cualquiera podría hacerte pelota tu sitio, ya sea cambiando páginas/imagenes/scripts o eliminandolas. Si averiguo algo más te aviso. Suerte! Hola Marcos! Hace un par de años que no nos vemos.
Por lo que estuve vichando, el funcionamiento del virus es el siguiente:

1) Detecta un directorio con permisos de escritura.
Esto es sencillo, ya que teniendo acceso a la página principal, se puede desarrollar facilmente un script que navegue por todo tu sitio (público) armando el arbol de directorios.
Luego, una vez que tiene toda la jerarquía, alcanza con hacer un PUT por HTTP para tratar de escribir un archivo (así como está GET y POST, también estan PUT y DELETE).

2) Cuando puede escribir en un directorio, estás frito! ya que inserta una página PHP y la ejecuta. Dicha página se ejecuta con tus permisos, y, por ejemplo, ejecuta un código que recorra todo tu directorio (no el público, sino que el privado) para recolectar información, seguir poniendo otros scripts, etc.

El problema con esto, es que algunos sistemas (p.e. CMS) necesitan que ciertos directorios publicos tengan permisos de escritura, ya que por ejemplo implementan algún mecanismo de cache.

Ahora bien, según encuentro en http://wiki.linuxquestions.org/wiki/Securing_Apache, se podría agregar en el archivo .htaccess del sitio el siguiente código para limitar el acceso PUT/DELETE:

<Directory /usr/apache/www>
    …bunch of useful stuff
    <Limit PUT DELETE>
        Require user sweeble2plope3guzza9
    </Limit>
</Directory>

En cuanto a que el servidor tenga protección para estos scripts, es cuestionable, ya que podría estar infringiendo alguna ley de violación de propiedad privada o algo por el estilo… ya que se estarían metiendo con código de tu propiedad (es mas o menos como que el dueño de la casa que alquilas se meta a tu casa para ver que estás haciendo).
Lo que si podrían hacer, es bloquear el acceso de salida (por HTTP) hacia los servidores del virus (phpfeed.ru).

Otro detalle, e independiente de este virus, es que al contar con esta falta de protección, cualquiera podría hacerte pelota tu sitio, ya sea cambiando páginas/imagenes/scripts o eliminandolas.

Si averiguo algo más te aviso.
Suerte!

]]> Por: Marcos Angenscheidt http://www.gastonmarrero.com/2009/08/tu-sitio-web-esta-seguro/comment-page-1/#comment-7 Marcos Angenscheidt Wed, 05 Aug 2009 18:40:43 +0000 http://www.gastonmarrero.com/?p=137#comment-7 Como anda sr!!! tanto tiempo, bueno yo fui victima del famoso virus. Hasta ahora no lo han podido solucionar, aparentemente a algun zapallo le rebaron la info de acceso ftp. Ahora mi consulta, independientemente el servidor donde se alojan los sitios no deberia tener proteccion para estos scripts? como pueden recorrer todo el disco de un server sin que el proceso no sea detectado? Como anda sr!!! tanto tiempo, bueno yo fui victima del famoso virus. Hasta ahora no lo han podido solucionar, aparentemente a algun zapallo le rebaron la info de acceso ftp. Ahora mi consulta, independientemente el servidor donde se alojan los sitios no deberia tener proteccion para estos scripts? como pueden recorrer todo el disco de un server sin que el proceso no sea detectado?

]]>