Me han defaceado la web

W

willy__chaos #1 Ago '07

Buenas, pues mirar, me he levantado esta mañana y al conectarme para mirar unas cosas veo que me han hecho un deface / hack a la web.

www.sodark.es
www.sodark.es/tecnojardin

El tio me ha puesto los permisos del servidor de Linux, pero mi pregunta es, esos permisos tienen que estar en mi web (algun comando como por ejemplo tambien esta el show_errors(0) o algo asi, o es el que me alquila el servidor quien tiene que arreglarlo ?

Por la web no pasa nada ya que por desgracia (en caso de querer putear) para el defacer tengo copias de seguridad de todas las bases de datos y de los archivos .php.

Vosotros creeis que es xq me ha querido enseñar el error o en plan puteo.

La web no es gran cosa, subo manuales de informatica para que la gente aprenda a hacer cosillas. Lo ultimo precisamente fue como instalar XP en Asus Z53S.

Gracias por vuestras respuestas.

SeiYa #2 Ago '07

Alguna puerta que has dejado abierta, algo de permisos fijo, el tio habrá podido subirte un php y ya con eso arriba despídete XD

W

willy__chaos #3 Ago '07

Gracias por tu respuesta/s

Una ultima pregunta, los comandos en caso de tener que estar en la .php cuales son los mas criticos?

Luego me mirare php.net para revisar, pero si me puedes ir avanzando algo te lo agradeceria.

Si los comandos han de estar en el php.ini del server apache entonces tendrian que modificarmelos los del host, ya que no tengo acceso a ese archivo

SeiYa #4 Ago '07

Bueno, hay directivas que puedes incluir en un .php para modificar el .ini me parece.

De todos modos ¿tienes algo de subida de archivos en tu web? ¿algún php que haga un chmod o algo? porque lo que muchos suelen hacer es un script local que intente subir algo a tu servidor, el tio lo que hará será ir probando servidores y fijo que hay alguno que se deja el directorio en 777 y le deja subirle un php y si eso pasa adiós, despídete XD

Mi consejo que te cojas un server que puedas tener más acceso a las cosas, yo tengo ssh y puedo crearme un .ini local para mi sitio web, de hecho así lo tuve que hacer por un tema de las sesiones que me saltaba el phpsessid y a mi no me molaba XD

C

CodE07 #5 Ago '07

Sin ánimo de ofender y con un toque off-topic te diré que ya sabes qué manuales tienes que subir la próxima vez...

erdanblo #6 Ago '07 Inocente

Juanking again? xD sigue sin ir.

EnZo #7 Ago '07

No entiendo como pueden subirte al servidor un archivo desde local. Para poder copiar el archivo q se ha subido mediante formulario el script debe estar en el servidor no?

Explicamelo Seiya.

LOc0 #8 Ago '07

¿Soy el único que ha leído me han defecado la web ?

Salu2

erdanblo #9 Ago '07 Inocente

#7 Fácil.

Si tiene un script de subir archivos y no lo tiene medianamente protegido (supongamos dominio.com/subir/subir.php), nada más que tiene que crearse un form en html y ponerle el action a esa url.

A partir de ahí, sube el archivo "hacker.php" por ejemplo, lo ejecuta y zas.

EnZo #10 Ago '07

ahhhh eso sabia que se puede hacer. Pero esque yo doy por hecho que tienes la minima seguridad, debes estar logueado, comprobar si el nombre del archivo acaba en php o cosas así.

Por eso no entendia como con una carpeta con permisos 777 puede ser "defaceada" tan facilmente. Se tienen que cumplir muchas cosas para que eso ocurra.

LOc0 no eres el unico no xD

W

willy__chaos #11 Ago '07

Pero de esa forma es imposible ya que no tengo ningun formulario que suba archivos a mi host, ningun script para subir archivos. Unicamente tengo formularios para insertar noticias, los archivos siempre los subo yo mediante conexion FTP con un gestor.

SeiYa #12 Ago '07

A ver, puede ser perfectamente que su servidor acepte peticiones de archivos desde fuera, eso es perfectamente posible.

Puede ser también perfectamente posible que tenga un directorio mal protegido con 777 y ya se jodió el invento, tu te puedes hacer un archivo en local que suba un archivo a remoto siempre y cuando este último lo admita. Quizás lo admitía o tenía algún script mal hecho ...

Y como pueda subirle un php adios.

FreakMaster #13 Ago '07

Y yo me pregunto...como saben los juankers estos si tal servidor tiene esa vulnerabilidad para ejecutar tal script.

Siempre tuve el gusanillo de saber si existe algun tipo de programa o forma de poder ver los directorios de un servidor siendo cliente. ¿Es posible?

SeiYa #14 Ago '07

A ver, se dedican a vagar por el ciberespacio y prueban... además también con google se pueden descubrir muchas vulnerabilidades

FreakMaster #15 Ago '07

#14 podrias responder a mi pregunta siendo un poco mas "concreto" porfavor ?

Con Google como, un ejemplo pls. ¿?

Y manera de ver directorios ? *-)

erdanblo #16 Ago '07 Inocente

Aprenda a ser Juanquer en un solo post.

Ejemplo: http://www.kriptopolis.org/explorer-revela-datos-ftp

EnZo #17 Ago '07

Repito lo de antes. O tienes un subir.php sin ningun tipo de proteccion si te la meten doblada pero si no...

A el le habran hackeao usando ingeneria social.

erdanblo #18 Ago '07 Inocente

#17 No.

Directorio con permisos de escrituras (chmod 777) te creas el subir.php en tu PC, y el destino lo pones a ese directorio con 777, envias y zas.

SeiYa #19 Ago '07

#17 a ver, hay servidores que pueden tener activado la subida remota de archivos, y con que tenga un directorio con malos permisos la liamos.

Quiero decir, que hay servidores que puedes tener tu subir.php en tu pc y que suba cosas a un servidor remoto siempre que este lo permita.

#15 a ver, con google puedes averiguar muchas cosas por ejemplo:

http://www.google.es/search?source=ig&hl=es&q=intitle%3Aindex.of+&btnG=Buscar+con+Google&meta=

Hice un mini artículo hace tiempo, toma:

http://www.wallack.es/Secciones/Noticias/google-como-herramienta-hacker.html

EnZo #20 Ago '07

No me lo creo, no puede ser tan isi. Hay millones de sitios con carpetas que tienen permisos 777.

De ser así me tendrian que haber juankeado hace tiempo o he tenido mucha suerte... xD

Dime tu como lo copias al servidor sin ejecutarlo desde el.
Y no quiero que me expliques la teoria.

move_uploaded_file? NO
copy? NO

SeiYa #21 Ago '07

#20 Que no es solo los permisos que también tiene que tener activado la subida remota coñe XD

KiTo_ #22 Ago '07

#8 yo tambien lo lei asi xDD

AcidNos #23 Sep '07

Aparte de lo que estais diciendo, hay fallos de programacion conocidos en los nukes actuales como PHP Nuke, PHPBB, ASP, y similares, y los cuales son publicados.

En muchos casos, con un solo link en el navegador, se puede conseguir un acceso a la web por un desbordamiento en la secuencia de comandos de estos interpretes.

No es solo cuestion de permisos o subida remota de ficheros. El que se dedica a esto, sabe lo que hace y lo que busca. Los que se dedican a "juankear" webs, es porque un amigo les ha dicho que cierto tipo de web se casca de cierta manera (por norma general). El que se dedica a ello, simplemente busca el fallo y lo aprovecha sin necesidad de lo que comentais.

Por otro lado, tambien existen webs en las que son publicados los bugs de los sistemas o interpretes, y en muchos casos tambien publican el origen del fallo y como explotarlo. De ahi hay gente que se protege, y gente que aprovecha esos fallos con otras intenciones.

X-Crim #24 Sep '07 Moderador Mario Kart

o tendras una contraseña de usuario muy facil de adivinar y te la ha adivinado

erdanblo #25 Sep '07 Inocente

Va a ser eso, mira que me dijeron que no usase 12345, ahora tendré que probar con 54321.

X-Crim #26 Sep '07 Moderador Mario Kart

es lo mejor, esa no la advinaria yo, pero ya no la pongas!! q la sabre, prueba con...7654321 ^^

SeiYa #27 Sep '07

#23 yo pensaba que ASP era un lenguaje de programación y no un nuke

X-Crim #28 Sep '07 Moderador Mario Kart

#27 yo tmb lo pensaba, seguro q es lenguaje de programacion?

SeiYa #29 Sep '07

#28 pues estoy empezando a dudar que he programado en un nuke y no en un lenguaje de programación :S

B

[Borrado] #30 Sep '07

Digo yo que se referira a:

http://www.aspnuke.com/

Usuarios habituales