Oleada sitios web hackeados
8 seguidores
Ultimamente hemos detectado en muchos proyectos web realizados ataques que han dejado a 0 bytes los archivos index.php de algunos servidores. En ocasiones el atacante modificaba el archivo PHP incluyendo algun iframe.
¿conoceis este tipo de problema? sabeis como solucionarlo?
xavib
¿En el mismo ISP o en ISP diferentes?
silicon_ia
en dos ISPs diferentes... además los archivos index.xxx y home.xxx son modificados vía FTP posteriormente... impresionante en una semana...
xavib
Pues si, es raro. ¿No se habrá enfadado alguien?
txuma
silicon_ia
en dos ISPs diferentes... además los archivos index.xxx y home.xxx son modificados vía FTP posteriormente... impresionante en una semana...
Jostis, pues va a resultar que es verdad, porque ayer un amigo al que le he hecho una web me reenvió un email de su ISP comentando este problema. Jurs, el milenarismo va a llegar!!!
Silicon, ¿que ISP's eran?
karramarro
Hace un año pico nos pasó algo parecido con Papel Continuo.
Mirando las estadísticas de la web vi muchas entradas de una web Brasileira, que resultó ser un foro de hackers.
Los tipos se montaban de vez en cuando un concurso de "defacements" y ganaba el que más páginas petaba.
Igual ha sido algo parecido...
juandelgado
karramarro
un concurso de "defacements"
Y que nunca les de por hacer un concurso de darse pataditas en los cojones...
Estaria bien que pusieras que ISPs son, mas que nada para estar atentos.
txuma
En mi caso era Arsys
silicon_ia
pues uno de ellos era Verio, que llevan toda la vida... pero no se... igual es un tema de php, algun exploit por algun agujero sin parchear, la maquina es Red Hat
dagi3d
tenían algúna aplicación en común?
o teniáis páginas que hacían 'includes' a partir del valor de una variable recibida a través de la url?
algo en plan http://servidor.com/index.php?seccion=noticias
index.php
<code>
<?
...
include $seccion.".php";
...
</code>
silicon_ia
Pues Dagi, el problema ha vuelto a surgir en otro server, y además lo hace en segundos, osea subo una carpeta nueva y la revietna metiendole el iframe, la verdad es que es raro. puede que haya alguna carpeta haciendo includes desde variables vía get.... pero no en esa carpeta. osea q en teoria debería de tener acceso al ftp, porque ha modificado un archivo que no tiene ningun include.
aradaen
txuma
En mi caso era Arsys
arsys fue hackeada hará unos meses imagino que te referirías a ese suceso. No explicaron mucho, tan solo a los clientes afectados nos enviaron un correo informándonos que debiamos cambiar nuestras claves ftp en algunos dominios. Al parecer se vieron comprometidas numerosas contraseñas (según arsys apenas un 5% creo recordar) entre ellas algunas de dominios que tenemos allí en el trabajo.
Creo que hasta en las noticias o algún periodico de tirada nacional se hizo eco.
miliote
Hola,
Soy nuevo en estas cosas y estoy montando una web en phpnuke y la verdad es que estoy teniendo muchas visitas desde EEUU (casi el triple que desde España) al ser una web que esta a medias sólo en español y sobre un tema muy concreto (bodyboard) me sorprende tal diferencia de visitas!
Hay alguna forma de saber si estan hackeando nuestra web?
gracias!