Contacto
Buenas,
Esta noche me han hackeado mi servidor de 1&1, han puesto un .htaccess en cada carpeta y han firmado como exgocgkctswo .
Los permisos de carpeta sólo permiten ejecutar, y los permisos de fichero sólo permiten leer; así que supongo que se han puesto estos ficheros como root.
¿Sabéis cómo puedo saber si mi servidor es seguro, o augmentar la seguridad?
Gracias.
EDITADO: He cambiado la palabra en negrita, que había vuelto a poner directorio sin querer.
Hacking en 1&1
Hacking en 1&1
Última edición por Irenicus el 26 Jul 2011 11:14, editado 1 vez en total.
¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!
Re: Hacking en 1&1
¿Es un servidor dedicado en el cual gestionas tu el apache y demás o es un alojamiento donde solo puedes colocar la página y ya está?
Si es un servidor dedicado puedes instalar http://www.modsecurity.org/ , el cual es un firewall de aplicaciones bastante eficiente.
Si es un alojamiento donde ni pinchas ni cortas a la hora de configurar apache, lo único que puedes hacer es verificar el código fuente de tu página para aumentar la seguridad. Si estás usando algún script tipo Wordpress o similar actualiza inmediatamente a la última versión, ya que es probable que la actual tenga algún agujero de seguridad. (Esto es conveniente tanto si puedes instalar el mod_security como si no).
En cuanto a los permisos es raro, porque al menos el usuario nobody de apache debe tener permisos de lectura, aunque como bien apuntas, solo root debería poder escribirlos. En este caso, es posible que la versión de apache que se esté utilizando tenga algún agujero de seguridad que haya sido explotado. (Aunque en cualquier caso, apache nunca se debe ejecutar como root).
Si es un servidor dedicado puedes instalar http://www.modsecurity.org/ , el cual es un firewall de aplicaciones bastante eficiente.
Si es un alojamiento donde ni pinchas ni cortas a la hora de configurar apache, lo único que puedes hacer es verificar el código fuente de tu página para aumentar la seguridad. Si estás usando algún script tipo Wordpress o similar actualiza inmediatamente a la última versión, ya que es probable que la actual tenga algún agujero de seguridad. (Esto es conveniente tanto si puedes instalar el mod_security como si no).
En cuanto a los permisos es raro, porque al menos el usuario nobody de apache debe tener permisos de lectura, aunque como bien apuntas, solo root debería poder escribirlos. En este caso, es posible que la versión de apache que se esté utilizando tenga algún agujero de seguridad que haya sido explotado. (Aunque en cualquier caso, apache nunca se debe ejecutar como root).
Ocultar Re: Hacking en 1&1
Gracias Ghost, no es un servidor dedicado (o eso creo), es el 1&1 básico que apenas puedo poner el php.ini y el .htaccess si no es muy complejo, jejeje.
Es un código fuente bastante sencillo y que además tiene pocas líneas de PHP.
Creo que debe como dices, que han vulnerado la versión de Apache de 1&1.
Es un código fuente bastante sencillo y que además tiene pocas líneas de PHP.
Creo que debe como dices, que han vulnerado la versión de Apache de 1&1.
¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!
Re: Hacking en 1&1
Puede tener pocas líneas, pero si tienes algún GET o POST lo mismo te han entrado por ahí (aunque no es fácil). Creo de todas formas que lo mejor es que se lo comentes a los de 1&1, porque sino, se va a repetir el problema.
Re: Hacking en 1&1
Sí que tengo algún GET y POST, pero bueno, como sugieres he enviado un correo electrónico a 1&1 para ver qué ha sucedido.
Gracias Ghost.
Gracias Ghost.
¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!
Re: Hacking en 1&1
Pues yo empezaría por filtrar esas recepciones de información. puedes filtrar los tipos de datos que esperas recibir con expresiones regulares. O, como solución sencilla (pero ni mucho menos 100% efectiva) aplicar la función stripslashes a todo lo que recibas de formularios.
Re: Hacking en 1&1
Pues los únicos GET que hago son para jugar con el idioma de la página y poner una cookie para recordar:
Y luego tengo un formulario de contacto, que sí que pasa por POST:
Que contacte_2.php hace por ejemplo:
Espero recibir Nombre, email, Asunto y Mensaje, es decir, 3 inputs y un textarea; ¿cómo los podría filtrar?
Código: Seleccionar todo
$idiomaActual = 'ca';
if(isset($_GET['idioma'])) {
if ($_GET['idioma'] == 'ca' || $_GET['idioma'] == 'es') {
setcookie ("idioma", $_GET['idioma'], time () + 3600);
$idiomaActual = $_GET['idioma'];
}
}
elseif(isset($_COOKIE['idioma']) && file_exists("lang/".$_COOKIE['idioma'].".php")) $idiomaActual = $_COOKIE['idioma'];
include "lang/".$idiomaActual.".php";
?>Código: Seleccionar todo
if ($_POST) include('contacte_2.php');
else {
/* El formulario entero */Código: Seleccionar todo
$email=$_POST['email'];¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!
Re: Hacking en 1&1
Estaba mirando... ¿esta línea puede peligrosa para un ataque RFI?
En realidad, ¿lo suyo no sería poner un código de este tipo?:
(No lo he podido probar porque el servidor de 1&1 sigue caído y me da pereza instalarme un LAMPP, jeje).
Código: Seleccionar todo
include "lang/".$idiomaActual.".php";Código: Seleccionar todo
if($idiomaActual == "es" || $idiomaActual == "ca") include "lang/".$idiomaActual.".php";
/* Si sólo quiero quier español y catalán */¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!
Re: Hacking en 1&1
La segunda opción es mucho más fiable. Sobre todo si $idiomaActual proviene de un $_POST o un $_GET.
Re: Hacking en 1&1
Gracias Ghost.
Lo he dejado como la segunda opción y funciona igual de bien y más seguro
Lo he dejado como la segunda opción y funciona igual de bien y más seguro
¡Descarga programas gratis en la Lista de software libre y/o gratuito para Windows!