Saltar al contenido

Misteriosos archivos ico que aparecen en el servidor web

Esta división ha sido analizado por expertos así se asegura la exactitud de esta noticia.

Solución:

Este es un ataque dirigido a una vulnerabilidad de PHP con solicitudes POST.

El atacante de alguna manera logra cambiar los archivos PHP existentes con una instrucción @include usando una ruta codificada que se traduce en uno de estos archivos .ico que son archivos PHP de descifrado automático que llaman a un script externo desde otro servidor.

El bloqueo de solicitudes POST funciona hasta ahora. Aunque eso solo es posible para sitios que no dependen de solicitudes POST externas. Esto se puede hacer en el .htaccess archivo como se explica aquí.

EDITADO: Este es un conocido truco de php. Si su servidor solo ejecuta Wordpress, los complementos como Wordfence pueden detectar y limpiar los archivos infectados, pero si tiene otras aplicaciones php, tomará otros pasos. Ejecuté Maldet y no funcionó.

Inyecta o modifica archivos index.php que llaman a un archivo .ico, también crea archivos .php con nombres aleatorios

La causa puede ser muchas, incluidas las operaciones POST de formularios desprotegidos. Utilice siempre formularios seguros con recaptcha. Su sistema definitivamente está pirateado, pero copiar sus archivos a un nuevo sistema operativo probablemente también copie el código infectado.

Soluciones para limpiar los archivos infectados

archivos ico

Usando ssh, busque todos los archivos .ico desde la raíz html:

find -name "*.ico"

elimine aquellos con caracteres aleatorios antes de la extensión .ico

archivos index.php

Solían llamar al archivo infectado usando un @include en un archivo index.php. Para encontrar archivos index.php comprometidos, encontré esta forma mucho más rápida que el comando grep puro:

find -name index.php -exec grep -rnwl '@include '  ;

Elimine el código malicioso si el resto del archivo es original o simplemente deséchelo si lo crea este ataque malicioso.

Archivos .php aleatorios

Usan nombres aleatorios, en cli puedes encontrar los mismos patrones por igual. En mi caso, los archivos tenían 8 caracteres antes de que .php tuviera una función de subcadena para crear nombres, por lo que pude encontrarlos así:

find -name '????????.php' -exec grep -rnwl 'substr(md5(time()), 0, 8)'  ;

diferencia

Puede usar diff para encontrar diferencias con el material original en su lugar o usar svn, git.

diff -qr directory-1/ directory-2/

Aquí tienes las reseñas y valoraciones

Recuerda que tienes permiso de valorar este ensayo si te fue de ayuda.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *