Malware en el servidor Web
¿Qué es Malware?
Malware (del inglés malicious software), también llamado badware, software malicioso o software malintencionado es un tipo de software (gracias wikipedia)
La mayoría de los servidores infectados por malware, se debe a los plugins o themes de los CMS (Content Manager System), dentro de estos vienen funciones que incrustan código malicioso y crean ficheros o modifican los ya existentes.
Algunos de los archivos que son creados o alterados comúnmente son los index* y los .htaccess, dentro de estos ponen códigos qué redirecciona a los robots de los buscadores a sitios comúnmente usados para spam o simplemente algun frame que visita a “x” web con contenido malicioso o algún ejecutable dependiendo el caso, un ejemplo de un .htaccess modificado:
htaccess
Otro de los archivos modificados son los index.*, estos en la parte de la cabecera añaden frames o código ofuscado, en algunos casos es fácil dar con estas modificaciones, cómo este ejemplo de código ofuscado en un base64:
<php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvY.......CdkZ29iaCcpO319fQ==')); ?>
Código Ofuscado: La ofuscación se refiere a encubrir el significado de una comunicación haciéndola más confusa y complicada de interpretar.
En WordPress existen plugins que pueden ayudar a buscar este tipo de malware uno de los que uso se llama, Anti-Malware Scan se puede encontrar en el sitio de plugins de Wordpres ( http://wordpress.org/extend/plugins/gotmls/ ), es muy bueno para encontrar este tipo de malware, pero no es la solución según he visto el comportamiento en el servidor la mayoría ocupa el directorio /tmp para la inserción del código, es recomendable darle una limpieza o borrar todo lo que contiente /tmp, de esta forma puede darse una solución (claro después de dar con los archivos infectados), después de esto es recomendable revisar permisos de los archivos y directorios en tu servidor, así cómo los logs de errores que causa el eval(); del php.
Sí se tiene acceso por ssh y eres fanático de la terminal puedes tratar con estos comandos para encontrar los archivos infectados ver post.
Páginas de interes;
- http://www.tareeinternet.com/scripts/decrypt.php
- http://www.tareeinternet.com/scripts/byterun.php
- http://www.elhacker.net/base64.html
Saludos.
Esta entrada fue creada un Miércoles, abril , 2012
Sobre Seguridad.
Puedes seguir las respuestas via RSS 2.0 feed.
... Oh dejarme un comentario o Trackback desde tu sitio, o talvez un megusta desde tu facebook:
Puedes regalarme un click :
Javier
Y no es cuento.
abril 24, 2012 @ 19:30: