76
FAQ / Vulnerabilidad RFI (Remote File Inclusion) de insercción malware en .htaccess
« en: Septiembre 03, 2010, 05:04:38 am »
Varios clientes estan siendo afectados por lo que parece ser una botnet de malware. Esta botnet recorre todas las páginas de un servidor web en busca de vulnerabilidades RFI (Remote File Inclusion) que consiste en que debido a un fallo o bug de programación el atacante puede insertar código en algun fichero del atacado.
Sitios basados en Wordpress, Joomla, PhpBB u otros CMS son los que más probabilidad tienen de ser afectados, pero tambien páginas de usuarios que hayan sido programadas por ellos mismos y no hayan validado todos los parametros de entrada que recibe su aplicación o puesto medidas de seguridad para evitar este fallo.
El ataque normalmente consiste en introducir una redirección condicional en ficheros .htaccess, para que todas las búsquedas que procedan de una lista de buscadores conocidos, redirecciones del dominio víctima al dominio elegido por el atancante (que normalmente tendrá malware o algun modo de infectación mediante publicidad y spam).
Para mitigar por el momento dicha redirección, se pueden buscar los ficheros .htaccess con un simple gestor de FTP (por ejemplo Filezilla) y si se encuentra en su contenido algo como:
En tal caso, simplemente con vaciar el fichero, evitareis la redirección de malware, pero aún seguireis siendo vulnerables a otro posible ataque de RFI.
Por tanto se debe actualizar a la ultima versión del CMS que se este usando y si es código propio, revisar algunos manuales para evitar RFI.
Sitios basados en Wordpress, Joomla, PhpBB u otros CMS son los que más probabilidad tienen de ser afectados, pero tambien páginas de usuarios que hayan sido programadas por ellos mismos y no hayan validado todos los parametros de entrada que recibe su aplicación o puesto medidas de seguridad para evitar este fallo.
El ataque normalmente consiste en introducir una redirección condicional en ficheros .htaccess, para que todas las búsquedas que procedan de una lista de buscadores conocidos, redirecciones del dominio víctima al dominio elegido por el atancante (que normalmente tendrá malware o algun modo de infectación mediante publicidad y spam).
Para mitigar por el momento dicha redirección, se pueden buscar los ficheros .htaccess con un simple gestor de FTP (por ejemplo Filezilla) y si se encuentra en su contenido algo como:
Código: [Seleccionar]
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://algun_dominio/alguna-pagina.php?s=xx [R,L]
En tal caso, simplemente con vaciar el fichero, evitareis la redirección de malware, pero aún seguireis siendo vulnerables a otro posible ataque de RFI.
Por tanto se debe actualizar a la ultima versión del CMS que se este usando y si es código propio, revisar algunos manuales para evitar RFI.