Quijost

Por favor ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión
Búsqueda Avanzada  

Noticias:

Deja tu post en el foro para hacer algun tipo de consulta

Autor Tema: Vulnerabilidad RFI (Remote File Inclusion) de insercción malware en .htaccess  (Leído 6556 veces)

0 Usuarios y 1 Visitante están viendo este tema.

shakaran

  • Soporte
  • Administrator
  • Usuario profesional
  • *****
  • Karma: +12/-0
  • Desconectado Desconectado
  • Sexo: Masculino
  • Mensajes: 487
  • Un buen soporte lo es todo
    • Ver Perfil
    • Shakaran

Varios clientes estan siendo afectados por lo que parece ser una botnet de malware. Esta botnet recorre todas las páginas de un servidor web en busca de vulnerabilidades RFI (Remote File Inclusion) que consiste en que debido a un fallo o bug de programación el atacante puede insertar código en algun fichero del atacado.

Sitios basados en Wordpress, Joomla, PhpBB u otros CMS son los que más probabilidad tienen de ser afectados, pero tambien páginas de usuarios que hayan sido programadas por ellos mismos y no hayan validado todos los parametros de entrada que recibe su aplicación o puesto medidas de seguridad para evitar este fallo.

El ataque normalmente consiste en introducir una redirección condicional en ficheros .htaccess, para que todas las búsquedas que procedan de una lista de buscadores conocidos, redirecciones del dominio víctima al dominio elegido por el atancante (que normalmente tendrá malware o algun modo de infectación mediante publicidad y spam).

Para mitigar por el momento dicha redirección, se pueden buscar los ficheros .htaccess con un simple gestor de FTP (por ejemplo Filezilla) y si se encuentra en su contenido algo como:

Código: [Seleccionar]
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://algun_dominio/alguna-pagina.php?s=xx [R,L]

En tal caso, simplemente con vaciar el fichero, evitareis la redirección de malware, pero aún seguireis siendo vulnerables a otro posible ataque de RFI.

Por tanto se debe actualizar a la ultima versión del CMS que se este usando y si es código propio, revisar algunos manuales para evitar RFI.
En línea
Ángel Guzmán Maeso
Quijost Founder - Backend Engineer & Main support
 

Página generada en 0.14 segundos con 33 consultas.