OVH Community, your new community space.

Deface


oceano
14/11/2013, 20:47
Hola, buenas noches.

Muchas gracias por la info Guille !

Cita Publicado inicialmente por Guille
Hay una vulnerabilidad de PHP en modo CGI comentada en OVH que permite ejecutar codigo en servidor:
http://travaux.ovh.net/?do=details&id=9691

Incluso ponen un sencillo script para limpiar una maquina infectada.
Claro, que la solución es actualizar el PHP, o no usar el modo CGI o bien la que proponen los creadores de PHP con una redirección en el Apache:

http://php.net/releases/5_3_12.php

Por cierto para que los os asusteis viendo que vuestra última version estable de PHP de Debian es la 5.3.3:

https://security-tracker.debian.org/.../CVE-2012-1823

El bug está solucionado en la 5.3.3 +squeeze17
Para comprobación si se está afectado, en castellano rápido: al final de tu URL "url.com/?-s" Si sale código... tas tocao !!

" If you are using Apache mod_cgi to run PHP you may be vulnerable. To see if you are just add ?-s to the end of any of your URLs. If you see your source code, you are vulnerable. If your site renders normally, you are not. "

http://php.net/releases/5_3_12.php

Un saludo !

Guille
14/11/2013, 18:19
Hay una vulnerabilidad de PHP en modo CGI comentada en OVH que permite ejecutar codigo en servidor:
http://travaux.ovh.net/?do=details&id=9691

Incluso ponen un sencillo script para limpiar una maquina infectada.
Claro, que la solución es actualizar el PHP, o no usar el modo CGI o bien la que proponen los creadores de PHP con una redirección en el Apache:

http://php.net/releases/5_3_12.php

Por cierto para que los os asusteis viendo que vuestra última version estable de PHP de Debian es la 5.3.3:

https://security-tracker.debian.org/.../CVE-2012-1823

El bug está solucionado en la 5.3.3 +squeeze17

Ghaelito
14/11/2013, 16:00
Nada, al final he hecho una limpieza de hostings y ya está arreglado, igualmente espero que este post sirva por si a alguien le pasa lo mismo que a mi y no pueda usar esta opción.

Gracias por echarme un cable ^^

bz2
14/11/2013, 08:44
Cita Publicado inicialmente por Katrino
Pues eso de encontrar la IP es medio difícil, si yo fuera un hacker lo ultimo que haría es usar mi IP publica, saldría a internet a través de un proxy y a ver quien me agarra
No, no es para encontrar la IP. Es para, en el log, ver qué ha hecho el atacante.

Katrino
13/11/2013, 21:20
Cita Publicado inicialmente por bz2
¿Cómo se llama la shell que te han metido? Busca los logs de acceso del apache por ella y encontrarás la IP. A partir de ahí vas tirando del hilo y es probable que encuentres el punto de entrada.
Pues eso de encontrar la IP es medio difícil, si yo fuera un hacker lo ultimo que haría es usar mi IP publica, saldría a internet a través de un proxy y a ver quien me agarra

bz2
12/11/2013, 21:02
Cita Publicado inicialmente por Ghaelito
Bz2, he intentado mirar los logs del apache,e so fue lo primero que se me ocurrió, pero solo tengo el access.log y error.log y no veo nada tremendamente llamativo en ellos ;S
¿Cómo se llama la shell que te han metido? Busca los logs de acceso del apache por ella y encontrarás la IP. A partir de ahí vas tirando del hilo y es probable que encuentres el punto de entrada.

tfwfactory
12/11/2013, 20:52
Lo curioso es que habla de crear cuentas , si esto es cuentas tipo WHM de usuarios la cosa pinta grave , es eso a lo que te refieres ? , entonces tienes un problema más grande si te han borrado cuentas en ese sentido , saludos

Katrino
12/11/2013, 20:24
Eso fue por injeccion SQL, seguro tienes des actualizado tu CRM o gestor de contenido, busca en google hay mucha información de como tratar de evitar el deface

jack2
12/11/2013, 18:00
Creo que tienes un problema serio de permisos, pueden "defacear" una web a través de un script con alguna vulnerabilidad pero de allí a poder cambiar archivos de otros sitios y crear cuentas

Tienes instalado Suhosin, maldetect, Mod_security, a donde tienes apuntado open_basedir?

Lordchip
12/11/2013, 17:55
el defacing de la web basicamente se hace desde dos formas (ataque al portal CMS) te haces como admin una vez alli subes modulos,imagenes con virus, troyanosm, ficheros php de ataque etc.. o empiezas a enviar spam o hacer lo que quieras.

- por ftp/ssh

en el primer caso mira var/log/apache2*
en el segundo caso mira var/logs/ los siguientes archivos:
auth.log
wtmp.log
syslog

y si es por ftp seguro lo encuentras en /var/xferlog o bien /var/tuprogramadeftp/xferlog

espero te sirva de ayuda.

saludos

Ghaelito
12/11/2013, 17:18
Los index no los han tocado, ha sido en alguna web del host que han cargado un script y lo han ejecutado, en su día llegaron a crear un user 0:0 y un grupo, pero lo solventé pronto, ahora me la volvieron a liar pero solo pudieron cargar una web, no a habido deface en webs que ya hubiera subidas ni han creado grupos o usuarios...

El tema es que he borrado como 20 cuentas de hosts y si el bug estaba en una de ellas pues me voy a volver loco buscando porque las borré ayer al enterarme del ataque, por eso preguntaba si había alguna otra forma de saber por donde habían colado el archivo.

Bz2, he intentado mirar los logs del apache,e so fue lo primero que se me ocurrió, pero solo tengo el access.log y error.log y no veo nada tremendamente llamativo en ellos ;S

En el archivo log de securety tampoco hay nada, por ahí estoy tranquilo porque se que no han creado ningún user ni han llegado a niveles profundos del server, pero supongo que es todo cuestión de tiempo si no lo soluciono.

bz2
12/11/2013, 16:14
Lo primero, mira a ver los logs de acceso del apache y del servidor FTP y descárgatelos. Intenta determinar desde qué fecha estás infectado o han colado la sorpresa.

Lo más probable es que te hayan colocado una shell a través de algún script vulnerable en alguno de los sitios web.

Por curiosidad, ¿tienes en alguna web el script timthumb? Si la respuesta es sí, tienes todas las papeletas para que haya sido a través de ahí.

De igual manera, es primordial que configures correctamente los permisos de cada cuenta para evitar que te esparzan la porquería.

tfwfactory
12/11/2013, 16:01
Tendrías que revisar las carpetas donde están los dominios , por lo general atacan a los index bien sean php o html , revisa si en las cabeceras de un index de cada dominio o sistema de wordpress , etc , existe una linea agregada o similar , en el caso de joomla o wordpress , vete a la carpeta de los templates y revisa esto como también , revisa la version y los index del core , abres el ftp y revisas eso facilmente con dreamweaver mismo

Recuerda que esto seguramente viene de una infección a tu ordenador , anters de nada cambia las claves , accesos ftp , etc y después podrás revisar esto facilmente o de forma más segura a poder ser usa un ordenador diferente al habitual

Una forma también de detectar esto si no te han cambiado totalmete el index es ver la velocidad de carga en la barra inferior y ver que se va cargando en segundo plano , por lo general estos scripts utilizan conexiones curl remotas o similares , como file_get_contents , o conexiones por fsockopen - sockets



Saludos

Ghaelito
12/11/2013, 15:53
Uso CPanel y no tengo ningún FTP ni nada en común entre los hosts.

En los host hay mucho CMS, ya sea WP, IPB, SimpleCMS... supongo que el bug viene de alguno de ellos, pero como se yo cual?

tfwfactory
12/11/2013, 15:47
Si lo tienes en todas las cuentas , la pregunta sería primero si tienes un único FTP que apunta la raiz de todos los sitios web , después usas Cpanel u otro sistema y por último para darte alguna solución que tipo de sistemas usas , WordpResss , Joomla

En el caso de una única cuenta FTP a la raiz de todos los documentos y si tienes todos los archivos cambiados pro ejemplo los index , seguramente ha podido ser una infección en tu ordenador que ha pasado al hacker las claves de acceso FTP por ejemplo de FIlezilla , si tienes otros servidores al margen del infectado a los que sueles acceder desde el mismo ordenador , asegúrate de que no hay infecciones en los otros servidores

Una forma de monitorizar esto es usando herramientas onlines como esta : http://www.changedetect.com

Por otro lado actualiza también tus scripts es garantía de seguridad , mira si el SSH no tienes el puerto en el 22 y si es asi cámbialo , mira los logs de acceso por FTP para detectar alguna ip anómala también

Con esto más o menos tendremos datos para sugerirte más cosillas , un saludo

Ghaelito
12/11/2013, 15:33
Buenas a todos, me han hecho un deface, bueno, en realidad no es tal, pero me han colocado archivos con algún bug de alguna web y a través de esto con el user www-data (imagino) me han colocado esos archivos en todos los alojamientos...

El caso es el siguiente: ¿Como podría detectar por donde me la han colado? Como se cual de todas las cuentas es la que tiene el bug explotable?

Un saludo y gracias!