¿Qué es Malware?

Malware (del inglés malicious software), también llamado badware, software malicioso o software malintencionado es un tipo de software (gracias wikipedia)

La mayoría de los servidores infectados por malware, se debe a los plugins o themes de  los CMS (Content Manager System),  dentro de estos vienen funciones que incrustan código malicioso y crean ficheros o modifican los ya existentes.

Algunos de los archivos que son creados o alterados comúnmente son los index* y los .htaccess, dentro de estos ponen códigos qué redirecciona a los robots de los buscadores a sitios comúnmente usados para spam o simplemente algun frame que visita a “x” web con contenido malicioso o algún ejecutable dependiendo el caso, un ejemplo de un .htaccess modificado:

htaccess

Otro de los archivos modificados son los index.*, estos en la parte de la cabecera añaden frames o código ofuscado, en algunos casos es fácil dar con estas modificaciones, cómo este ejemplo de código ofuscado en un base64:

<php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvY.......CdkZ29iaCcpO319fQ==')); ?>

Código Ofuscado: La ofuscación se refiere a encubrir el significado de una comunicación haciéndola más confusa y complicada de interpretar.

En WordPress existen plugins que pueden ayudar a buscar este tipo de malware uno de los que uso se llama, Anti-Malware Scan se puede encontrar en el sitio de plugins de Wordpres ( http://wordpress.org/extend/plugins/gotmls/ ), es muy bueno para encontrar este tipo de malware, pero no es la solución según he visto el comportamiento en el servidor la mayoría ocupa el directorio /tmp para la inserción del código, es recomendable darle una limpieza o borrar todo lo que contiente /tmp, de  esta forma puede darse una solución (claro después de dar con los archivos infectados), después de esto es recomendable revisar permisos de los archivos y directorios en tu servidor, así cómo los logs de errores que causa el eval(); del php.

Sí se tiene acceso por ssh y eres fanático de la terminal puedes tratar con estos comandos para encontrar los archivos infectados ver post.

Páginas de interes;

• http://www.tareeinternet.com/scripts/decrypt.php
• http://www.tareeinternet.com/scripts/byterun.php
• http://www.elhacker.net/base64.html

Saludos.

Reboot Trailer from Joe Kawasaki

Me la paso Jcarlos, muy buen trabajo espero que ya suban o salga la movie :).

Esto salio de una conversación con Arturo (zeux0r), sobre un comando que busque dentro de los archivos salieron estos;

$> find -name *.html | xargs grep "title"

Lo que hace es buscar dentro de todos los archivos html, la palabra title dentro de los archivos añadiendo un * al final podremos obtener la ruta y el archivo que contiene esa palabra:

$> find -name *.html | xargs grep  title *

Nos arrojaría algo así:

$> find -name *.html | xargs grep  title *
./index.html:				'' +
./index.html:					'' +
>

#Por gunnar
>$ find . -name '*.html' -exec grep -r title \{\} +

#Por GnuGet
>$ grep -Hirn cadena_a_buscar .

#Por Gaspar Fernandez
>$ egrep -R ‘loquequierobuscar’ *.html

Un proyecto enfocado a la seguridad fundado por Arturo Zamora y su servidor Rafael Bucio, en esté proyecto esperamos publicar artículos y vídeos con buen contenido informático, también son bienvenidos artículos de la banda pueden enviarlo a rafael(arroba)bucio.com.mx o post(arroba)insecure.org.mx :-). Esperamos y los ninjas de México colaboren saludos.